Comecei a ler a matéria pelo interessante titulo, mas lendo quase joguei o computador na parede<br><br>&quot;Os testes realizados pelo WASC mostraram que as falhas que mais se
repetem podem ser divididas em duas categorias: os problemas derivados
de <a href="http://idgnow.uol.com.br/seguranca/2009/01/12/governo-e-empresas-dos-eua-listam-os-25-piores-erros-de-programacao">Cross-site Scripting (XSS) e SQL Injection</a>
(o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos
que enganam os usuários ao inserir links maliciosos no código de um
site e o segundo ocorre quando o cracker insere um comando indesejado
para ser executado quando o usuário acessar determinado site) . Essas
ocorrem por erros do sistema.&quot;<br><br>Cross-Site Scritping é  &quot;o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos
que enganam os usuários ao inserir links maliciosos no código de um
site&quot; ???????!!!! Um XSS persistente, mas e o resto?<br><br>SQL Injection é  &quot;o segundo ocorre quando o cracker insere um comando indesejado
para ser executado quando o usuário acessar determinado site&quot; ?????!!! Falha server side para que quero interagir com o usuário ?<br><br>&quot;Já as falhas denominadas como Information Leakage e Predictable
Resource Location ocorrem em função de administração imprópria do
sistema, como nos casos de um fraco controle de acesso.&quot;<br><br>Qual a relação entre Information Leakage e controle de acesso? Será que confundiram do DLP ?<br><br>Para finalizar a  conclusão achei fantastica<br><br>

&quot;Para corrigir tais problemas, os responsáveis seriam os
desenvolvedores, que precisariam usar firewalls para bloquear ataques
nos aplicativos e manter os programas sempre atualizados com as
correções oferecidas pelos fabricantes, além de realizar testes de
vulnerabilidades e de invasão regularmente.&quot;<br><br>Precisariam usar firewalls (eu espero que estejam falando de WAF hehehe)? Onde fica a segurança de código? Manter os programas atualizadas, sera que comprar o internet banking na esquina e depois é so baixar o update? SDLC existe? =D<br>

<br>Matéria : <a href="http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/">http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/</a><br>

<br>Acho que deveriamos enviar o OWASP Top10 para eles =D<br><br>Abs!<br clear="all"><br>-- <br>=====================<br>Rodrigo Montoro (Sp0oKeR)<br><a href="http://www.spooker.com.br">http://www.spooker.com.br</a><br><a href="http://www.snort.org.br">http://www.snort.org.br</a><br>

<a href="http://www.linkedin.com/in/spooker">http://www.linkedin.com/in/spooker</a><br>=====================<br>