Segurança de Aplicações Web
Archive for October 14, 2009
Anti-XSS Library 3.1
Oct 14th
A Microsoft Information Security lançou uma nova versão da sua ferramenta Anti-XSS, a Anti-XSS Library 3.1. Neste site é possível encontrar não apenas o anúncio do lançamento da ferramenta, mas igualmente uma apresentação em que é demonstrada a utilização da mesma.
Ao longo desta apresentação são focados os seguintes aspectos:
- O que é um ataque de XSS – Cross-Site Scripting
- Como detectar vulnerabilidades de XSS;
- Introdução à Anti-XSS Library
- O que há de nova nesta nova versão da Anti-XSS Library
- Demonstração da Anti-XSS Library 3.1
- Apresentação do Security Runtime Engine (SRE)
- Demonstração do SRE.
Evitar o malware do Windows usando um Live CD Linux
Oct 14th
Recentemente foi publicado um artigo no Washington Post que relatava os riscos que as pequenas e médias empresas corriam no acesso às suas contas bancárias online, em especial se usassem computadores baseados no sistema operativo Windows.
Segundo o autor do artigo, depois de ter analisado algumas situações, a utilização de computadores com Windows é um risco demasiado grande para as organizações por causa da proliferação de malware para estas plataformas, que procuram interceptar os dados de acesso às contas bancárias, e com isso tirar partido dos dados de acesso para realizar desvios de fundos.
Assim, o autor do artigo recomenda, entre outras coisas que o acesso às contas bancárias seja realizado a partir de um único computador (especificamente destinado para esse efeito), e que o mesmo seja ligado usando um Live CD com uma distribuição de Linux, para acesso às contas bancárias online da empresa. Quase todas as distribuições de Linux, oferecem o acesso a um Live CD, basta escolher a preferida.
Este é um problema grave, pois existe malware que permite efectuar um bypass dos diversos controlos de acesso e de autenticação dos serviços de banca online. Este é um problema sério e preocupante.
A utilização de um Live CD de Linux, permitirá que se tenha sempre um computador “limpo”, com toda a segurança oferecida por um sistema Linux, de cada vez que o mesmo arranca. Como não é possível escrever no CD, todos os dados, depois de terminada a sessão e desligado o computador, perdem-se. Logo, da próxima vez que se ligar é um computador “limpo” de novo.
Vale a pena ler, não só o artigo, assim como toda thread de comentários, que por si só é um manancial de informação “viva” muito interessante.
Guião para o Desenvolvimento Seguro em PHP
Oct 14th
Numa altura em que a maior parte das aplicações de Desktop começam a ser rapidamente substituídas por equivalentes na Web, torna-se crucial garantir a segurança dessas mesmas aplicações. Em grande parte, a segurança dessas mesmas aplicações não reside somente em aspectos relacionados com o rede de comunicações e de infra-estrutura, mas igualmente no próprio código-fonte que originou a aplicação.
Uma das linguagens de programação mais utilizada para desenvolvimento de aplicações dinâmicas para a Web é o PHP. O PHP, pelo facto de ser uma linguagem de programação aberta, não estando dependente de nenhum sistema nem de nenhum fornecedor específico, tornou-se numa escolha preferencial para este tipo de desenvolvimento.
Qualquer um, com um mínimo de esforço, consegue desenvolver uma aplicação web em PHP. A questão que se coloca é: será essa aplicação segura?
Para minimizar os riscos de segurança no desenvolvimento de aplicações Web com PHP, o PHP Security Consortium, tem um documento em que oferece uma visão clara sobre quais as melhores práticas para o desenvolvimento seguro com o PHP: PHP Security Guide 1.0.
Para quem desenvolve aplicações em PHP, é de leitura obrigatória.
