Trash hein. Tá com cara de copy-paste.<br><br><br><div class="gmail_quote">2009/6/3 Thiago Lechuga <span dir="ltr">&lt;<a href="mailto:thiagoalz@gmail.com">thiagoalz@gmail.com</a>&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Acho que quem escreveu isso tinha que ser é demitido...<br><br>Alem de escrever merda, escreve mal.<br><br>Atentem para isso:<br><br><h1>Mais de 96% dos sites de negócios têm vulnerabilidades críticas</h1>
<br clear="all"><br>ai, depois tem ai na matéria:<br><br>
                    

                    


                    <div>

                        <div>
<p>Falhas no desenvolvimento de aplicativos web são responsáveis por mais de 96% das falhas críticas em sites de negócios</p></div></div><br>Ou seja... nem interpretar os dados o cara sabe.<br><br>[]s,<br><br>Thiago Alvarenga Lechuga<br>

(19)9153-3822<br><br>Página Pessoal:<br><a href="http://thiagoalz.googlepages.com/home" target="_blank">http://thiagoalz.googlepages.com/home</a><br><br>===Knowledge is only useful if you can share it.===<br>
<br><br><div class="gmail_quote">2009/6/3 Eduardo V. C. Neves <span dir="ltr">&lt;<a href="mailto:eduardo@camargoneves.com" target="_blank">eduardo@camargoneves.com</a>&gt;</span><div><div></div><div class="h5"><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

<div>Rodrigo,<div><br></div><div>Sempre que um artigo ou matéria começam com um título catastrófico, há de se ter muito cuidado na leitura e interpretação. Apesar de identificarmos estas vulnerabilidades na maior parte das análises que fazemos em aplicações web, me parece quase irresponsável definir que um escopo gigante que cresce a uma taxa incalculável ao dia possa ser efetivamente definido e muito menos um percentual estimado. Estatística e probabilidade aplicadas para chegar neste percentual? :-)</div>

<div><br></div><div>Depois entra o problema de se falar sobre um assunto que não domina, o que me parece o caso da tradução feita pelo IDG. Explicar o funcionamento de um firewall para quem não é da área já é complicado, se você ainda citar WAF é capaz de perguntarem se tem a ver com rede sem fio, como já ouvi .....</div>

<div><br></div><div>Abraço,</div><div><br></div><div><br><div> <span style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Verdana; font-size: 11px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div>

<div><div><span style="font-family: &#39;Gill Sans&#39;; font-size: 12px;"><div><span style="font-family: &#39;Lucida Grande&#39;; font-size: 10px;"><div><span style="font-family: Helvetica; font-size: 12px;"><div>
<div><div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080">----</font></span></font></div><div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080"><b>Eduardo Vianna de Camargo Neves</b></font></span></font></div>

<div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080"><a href="mailto:eduardo@camargoneves.com" target="_blank">eduardo@camargoneves.com</a></font></span></font></div><div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080"><a href="http://camargoneves.com" target="_blank">http://camargoneves.com</a></font></span></font></div>

<div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080"><a href="http://www.linkedin.com/in/camargoneves" target="_blank">http://www.linkedin.com/in/camargoneves</a></font></span></font></div>

<div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080"><a href="http://twitter.com/evcneves" target="_blank">http://twitter.com/evcneves</a></font></span></font></div><div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080">----</font></span></font></div>

<div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080">OWASP AppSec Brasil 2009</font></span></font></div><div><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080">Brasília, 29 -30 outubro</font></span></font></div>

<div><span><font size="2" face="Verdana"><span style="font-size: 10px;"><font color="#808080"><a href="http://tinyurl.com/qfa2wr" target="_blank">http://tinyurl.com/qfa2wr</a></font></span></font></span></div></div></div>

</span></div></span></div></span></div></div></div></span> </div><br><div><div><div></div><div><div>On Jun 2, 2009, at 10:43 PM, Rodrigo Montoro(Sp0oKeR) wrote:</div><br></div></div><blockquote type="cite"><div>
<div></div><div>Comecei a ler a matéria pelo interessante titulo, mas lendo quase joguei o computador na parede<br><br>&quot;Os testes realizados pelo WASC mostraram que as falhas que mais se repetem podem ser divididas em duas categorias: os problemas derivados de <a href="http://idgnow.uol.com.br/seguranca/2009/01/12/governo-e-empresas-dos-eua-listam-os-25-piores-erros-de-programacao" target="_blank">Cross-site Scripting (XSS) e SQL Injection</a> (o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos que enganam os usuários ao inserir links maliciosos no código de um site e o segundo ocorre quando o cracker insere um comando indesejado para ser executado quando o usuário acessar determinado site) . Essas ocorrem por erros do sistema.&quot;<br>

<br>Cross-Site Scritping é  &quot;o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos que enganam os usuários ao inserir links maliciosos no código de um site&quot; ???????!!!! Um XSS persistente, mas e o resto?<br>

<br>SQL Injection é  &quot;o segundo ocorre quando o cracker insere um comando indesejado para ser executado quando o usuário acessar determinado site&quot; ?????!!! Falha server side para que quero interagir com o usuário ?<br>

<br>&quot;Já as falhas denominadas como Information Leakage e Predictable Resource Location ocorrem em função de administração imprópria do sistema, como nos casos de um fraco controle de acesso.&quot;<br><br>Qual a relação entre Information Leakage e controle de acesso? Será que confundiram do DLP ?<br>

<br>Para finalizar a  conclusão achei fantastica<br><br> &quot;Para corrigir tais problemas, os responsáveis seriam os desenvolvedores, que precisariam usar firewalls para bloquear ataques nos aplicativos e manter os programas sempre atualizados com as correções oferecidas pelos fabricantes, além de realizar testes de vulnerabilidades e de invasão regularmente.&quot;<br>

<br>Precisariam usar firewalls (eu espero que estejam falando de WAF hehehe)? Onde fica a segurança de código? Manter os programas atualizadas, sera que comprar o internet banking na esquina e depois é so baixar o update? SDLC existe? =D<br>

 <br>Matéria : <a href="http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/" target="_blank">http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/</a><br>

 <br>Acho que deveriamos enviar o OWASP Top10 para eles =D<br><br>Abs!<br clear="all"><br>-- <br>=====================<br>Rodrigo Montoro (Sp0oKeR)<br><a href="http://www.spooker.com.br" target="_blank">http://www.spooker.com.br</a><br>

<a href="http://www.snort.org.br" target="_blank">http://www.snort.org.br</a><br> <a href="http://www.linkedin.com/in/spooker" target="_blank">http://www.linkedin.com/in/spooker</a><br>=====================<br></div></div>

<div> _______________________________________________<br>Owasp-brazilian mailing list<br><a href="mailto:Owasp-brazilian@lists.owasp.org" target="_blank">Owasp-brazilian@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-brazilian" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-brazilian</a><br>

</div></blockquote></div><br></div></div><br>_______________________________________________<br>
Owasp-brazilian mailing list<br>
<a href="mailto:Owasp-brazilian@lists.owasp.org" target="_blank">Owasp-brazilian@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-brazilian" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-brazilian</a><br>
<br></blockquote></div></div></div><br>
<br>_______________________________________________<br>
Owasp-brazilian mailing list<br>
<a href="mailto:Owasp-brazilian@lists.owasp.org">Owasp-brazilian@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-brazilian" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-brazilian</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Leonardo Buonsanti<br>