Segurança de Aplicações Web
OWASP AntiSamy comprometido?
A ferramenta da AntiSamy é um projecto do OWASP que serve para filtrar o input que as aplicações web recebem por parte de utilizadores. Existem aplicações web que permitem a introdução de conteúdo em HTML e CSS. A ferramenta AntiSamy permite filtrar esse mesmo conteúdo introduzido de acordo com um conjunto de regras pré-estabelecido. Isto permite evitar ataques de XSS contra as aplicações web.
Aparentemente, alguém descobriu agora que existe uma forma de efectuar o bypass do controlo oferecido pelo AntiSamy. O método consistem em comprometer uma das bibliotecas Java, nas quais o AntiSamy se baseia, para corromper a forma como funciona. Mais detalhes podem ser encontrados aqui.
| Print article | This entry was posted by Carlos Serrao on April 1, 2009 at 10:27 am, and is filed under OWASP, Problemas. Follow any responses to this post through RSS 2.0. You can skip to the end and leave a response. Pinging is currently not allowed. |
No comments yet.
IBWAS’10 Registration is open (and free)
about 1 year ago - No comments
Registrations to the OWASP IBWAS’10 Conference Day, to be held on the 17th are now open. Registration is mandatory but free.
Samy Kamkar, só para finalizar…
about 1 year ago - No comments
Caros, o evento hoje do Samy Kamkar foi mesmo muito bom. Foi bom por diversos motivos, mas acima de tudo por que o Samy é um excelente speaker, e porque a comunidade aderiu em força e participou no evento.
Este evento foi apenas foi possível graças à OWASP, e o sucesso foi apenas possível por que
Samy Kamkar – video-difusão
about 1 year ago - No comments
Para quem não pode estar presente na palestra do Samy Kamkar hoje no ISCTE-IUL, aqui fica o link para a página onde o evento vai ser transmitido online: http://iscte.pt/videodifusao.jsp (18h30 GMT+1)
Samy Kamkar – Como chegar…?
about 1 year ago - No comments
Para todos aqueles que estão registados para estarem presentes para assistir à apresentação do Samy Kamkar no ISCTE-IUL, aqui fica alguma informação útil para poderem encontrar de imediato a localização do local da apresentação (Ed. ISCTE-IUL II, Piso 1, Auditório B1.04).
A apresentação realizar-se-á no ISCTE-IUL, na Av. das Forças Armadas, em Lisboa. Aqui fica o
Samy Kamkar em Lisboa. Obrigado OWASP!
about 1 year ago - No comments
Graças à OWASP conseguimos trazer o Samy Kamkar a Portugal, e integrar Lisboa, na lista de cidades europeias que o Samy está a percorrer durante Setembro e Outubro (detalhes abaixo).
Ficam por isso desde já todos convidados a comparecer, e assistir à apresentação do Samy em terras lusas. A apresentação é livre e gratuita, e os
OWASP IBWAS’10 Call for Training Proposals
about 1 year ago - No comments
2nd. OWASP Ibero-American Web-Applications Security conference (IBWAS’10)ISCTE – Lisbon University Institute25th – 26th November 2010Lisboa, Portugalhttp://www.ibwas.com
**CALL FOR TRAINING SESSIONS**
IBWAS and OWASP is currently soliciting training proposals for the OWASP Ibero-American Web Applications Security 2010 Conference (IBWAS’10) which will take place at ISCTE-IUL, Lisboa, Portugal, on November 24 through November 26, 2010.
There will be training
IBWAS’10 muda de data
about 1 year ago - 1 comment
A 2ª Conferência Ibero-Americana em Segurança de Aplicações Web (IBero-american Web Application Security conference – IBWAS), alterou as suas datas de realização, devido ao facto de que o OWASP SUMMIT 2010, ter sido marcado para uma data que era coincidente com a IBWAS’10, impedindo assim que muitos dos membros da OWASP perdessem a oportunidade de
OWASP Top 10 para programadores .Net
about 1 year ago - No comments
O Bruno Morisson partilhou hoje na ML da InfoSec-Pros-PT um link muito interessante – um conjunto de artigos num blog de um tal de Troy Hunt, um arquitecto de software.
Nesta série de artigos, são abordados os diversos riscos identificados pelo OWASP Top 10, sendo explicados detalhadamente cada um deles, com exemplos, numa perspectiva de um
Apresentação na World Internet Project 2010 (WIP2010)
about 1 year ago - No comments
O World Internet Project (WIP) é um projecto internacional e colaborativo que olha para o impacto social, político e económico da Internet e de outras novas tecnologias.
O WIP reuniu-se em Lisboa, no ISCTE-IUL, no seu 11º encontro anual, a ter lugar entre 6 e 8 de Julho, e juntou um conjunto de pessoas de todo
Nova versão da ferramenta OWASP JBroFuzz
about 1 year ago - No comments
Foi lançada uma nova versão da ferramenta JBroFuzz a ser desenvolvida num dos projectos patrocinados pela OWASP.
Ok, mas o que é isto do Fuzzing e para que serve?
Nada melhor do que usar a definição na Wikipedia, que define o Fuzz testing ou fuzzing como sendo uma técnica de testes a software que passa input inválido,
