<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Rodrigo,<div><br></div><div>Sempre que um artigo ou matéria começam com um título catastrófico, há de se ter muito cuidado na leitura e interpretação. Apesar de identificarmos estas vulnerabilidades na maior parte das análises que fazemos em aplicações web, me parece quase irresponsável definir que um escopo gigante que cresce a uma taxa incalculável ao dia possa ser efetivamente definido e muito menos um percentual estimado. Estatística e probabilidade aplicadas para chegar neste percentual? :-)</div><div><br></div><div>Depois entra o problema de se falar sobre um assunto que não domina, o que me parece o caso da tradução feita pelo IDG. Explicar o funcionamento de um firewall para quem não é da área já é complicado, se você ainda citar WAF é capaz de perguntarem se tem a ver com rede sem fio, como já ouvi .....</div><div><br></div><div>Abraço,</div><div><br></div><div><br><div apple-content-edited="true"> <span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Verdana; font-size: 11px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="font-family: 'Gill Sans'; font-size: 12px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="font-family: 'Lucida Grande'; font-size: 10px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="font-family: Helvetica; font-size: 12px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080">----</font></span></font></div><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080"><b>Eduardo Vianna de Camargo Neves</b></font></span></font></div><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080"><a href="mailto:eduardo@camargoneves.com">eduardo@camargoneves.com</a></font></span></font></div><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080"><a href="http://camargoneves.com">http://camargoneves.com</a></font></span></font></div><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080"><a href="http://www.linkedin.com/in/camargoneves">http://www.linkedin.com/in/camargoneves</a></font></span></font></div><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080"><a href="http://twitter.com/evcneves">http://twitter.com/evcneves</a></font></span></font></div><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080">----</font></span></font></div><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080">OWASP AppSec Brasil 2009</font></span></font></div><div><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080">Brasília, 29 -30 outubro</font></span></font></div><div><span class="Apple-style-span" style="-webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px; "><font class="Apple-style-span" face="Verdana" size="2"><span class="Apple-style-span" style="font-size: 10px; "><font class="Apple-style-span" color="#808080"><a href="http://tinyurl.com/qfa2wr">http://tinyurl.com/qfa2wr</a></font></span></font></span></div></div></div></span></div></span></div></span></div></div></div></span> </div><br><div><div>On Jun 2, 2009, at 10:43 PM, Rodrigo Montoro(Sp0oKeR) wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">Comecei a ler a matéria pelo interessante titulo, mas lendo quase joguei o computador na parede<br><br>"Os testes realizados pelo WASC mostraram que as falhas que mais se repetem podem ser divididas em duas categorias: os problemas derivados de <a href="http://idgnow.uol.com.br/seguranca/2009/01/12/governo-e-empresas-dos-eua-listam-os-25-piores-erros-de-programacao">Cross-site Scripting (XSS) e SQL Injection</a> (o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos que enganam os usuários ao inserir links maliciosos no código de um site e o segundo ocorre quando o cracker insere um comando indesejado para ser executado quando o usuário acessar determinado site) . Essas ocorrem por erros do sistema."<br><br>Cross-Site Scritping é&nbsp; "o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos que enganam os usuários ao inserir links maliciosos no código de um site" ???????!!!! Um XSS persistente, mas e o resto?<br><br>SQL Injection é&nbsp; "o segundo ocorre quando o cracker insere um comando indesejado para ser executado quando o usuário acessar determinado site" ?????!!! Falha server side para que quero interagir com o usuário ?<br><br>"Já as falhas denominadas como Information Leakage e Predictable Resource Location ocorrem em função de administração imprópria do sistema, como nos casos de um fraco controle de acesso."<br><br>Qual a relação entre Information Leakage e controle de acesso? Será que confundiram do DLP ?<br><br>Para finalizar a&nbsp; conclusão achei fantastica<br><br> "Para corrigir tais problemas, os responsáveis seriam os desenvolvedores, que precisariam usar firewalls para bloquear ataques nos aplicativos e manter os programas sempre atualizados com as correções oferecidas pelos fabricantes, além de realizar testes de vulnerabilidades e de invasão regularmente."<br><br>Precisariam usar firewalls (eu espero que estejam falando de WAF hehehe)? Onde fica a segurança de código? Manter os programas atualizadas, sera que comprar o internet banking na esquina e depois é so baixar o update? SDLC existe? =D<br> <br>Matéria : <a href="http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/">http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/</a><br> <br>Acho que deveriamos enviar o OWASP Top10 para eles =D<br><br>Abs!<br clear="all"><br>-- <br>=====================<br>Rodrigo Montoro (Sp0oKeR)<br><a href="http://www.spooker.com.br">http://www.spooker.com.br</a><br><a href="http://www.snort.org.br">http://www.snort.org.br</a><br> <a href="http://www.linkedin.com/in/spooker">http://www.linkedin.com/in/spooker</a><br>=====================<br> _______________________________________________<br>Owasp-brazilian mailing list<br><a href="mailto:Owasp-brazilian@lists.owasp.org">Owasp-brazilian@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-brazilian">https://lists.owasp.org/mailman/listinfo/owasp-brazilian</a><br></blockquote></div><br></div></body></html>