Archive for March, 2010

IBWAS’10 – Call for Papers

Mar 23rd

Posted by Carlos Serrao in OWASP | 836 views

No comments

Second Ibero-American Conference on Web-Applications Security (IBWAS’10)
ISCTE – Lisbon University Institute
11th – 12th November 2010
Lisboa, Portugal
http://www.ibwas.com
[organised by OWASP Portugal and OWASP Spain]

Introduction

There is a change in the information systems development paradigm. The emergence of Web 2.0 technologies led to the extensive deployment and use of web-based applications and web services as a way to developed new and flexible information systems. Such systems are easy to develop, deploy and maintain and demonstrate impressive features for users, resulting in their current wide use.

As a result of this paradigm shift, the security requirements have also changed. These web-based information systems have different security requirements, when compared to traditional systems. Important security issues have been found and privacy concerns have also been raised recently. In addition, the emerging Cloud Computing paradigm promises even greater flexibility; however corresponding security and privacy issues still need to be examined. The security environment should involve not only the surrounding environment but also the application core.

This conference aims to bring together application security experts, researchers, educators and practitioners from the industry, academia and international communities such as OWASP, in order to discuss open problems and new solutions in application security. In the context of this track academic researchers will be able to combine interesting results with the experience of practitioners and software engineers.

Conference Topics

Suggested topics for papers submission include (but are not limited to):

  • Secure application development
  • Security of service oriented architectures
  • Security of development frameworks
  • Threat modelling of web applications
  • Cloud computing security
  • Web applications vulnerabilities and analysis (code review, pen-test, static analysis etc.)
  • Metrics for application security
  • Countermeasures for web application vulnerabilities
  • Secure coding techniques
  • Platform or language security features that help secure web applications
  • Secure database usage in web applications
  • Access control in web applications
  • Web services security
  • Browser security
  • Privacy in web applications
  • Standards, certifications and security evaluation criteria for web applications
  • Application security awareness and education
  • Security for the mobile web
  • Attacks and Vulnerability Exploitation
  • Paper Submission Instructions
  • … and more.

Authors should submit an original paper in English, carefully checked for correct grammar and spelling, using the on-line submission procedure (http://paperman.ibwas.com). Please check the paper formats so you may be aware of the accepted paper page limits (12 pages, in accordance to a supplied template).

The guidelines for paper formatting provided at the conference web site must be strictly used for all submitted papers. The submission format is the same as the camera-ready format. Please check and carefully follow the instructions and templates provided.

Each paper should clearly indicate the nature of its technical/scientific contribution, and the problems, domains or environments to which it is applicable.

Papers that are out of the conference scope or contain any form of plagiarism will be rejected without reviews.

Remarks about the on-line submission procedure:

  1. A “double-blind” paper evaluation method will be used. To facilitate that, the authors are kindly requested to produce and provide the paper, WITHOUT any reference to any of the authors. This means that is necessary to remove the author’s personal details, the acknowledgements section and any reference that may disclose the authors identity
  2. Papers in ODF, PDF, DOC, DOCX or RTF format are accepted
  3. The web submission procedure automatically sends an acknowledgement, by e-mail, to the contact author.

Paper submission types

Regular Paper Submission

A regular paper presents a work where the research is completed or almost finished. It does not necessary means that the acceptance is as a full paper. It may be accepted as a “full paper” (30 min. oral presentation), a “short paper” (15 min. oral presentation) or a “poster”.

Position Paper Submission

A position paper presents an arguable opinion about an issue. The goal of a position paper is to convince the audience that your opinion is valid and worth listening to, without the need to present completed research work and/or validated results. It is, nevertheless, important to support your argument with evidence to ensure the validity of your claims. A position paper may be a short report and discussion of ideas, facts, situations, methods, procedures or results of scientific research (bibliographic, experimental, theoretical, or other) focused on one of the conference topic areas. The acceptance of a position paper is restricted to the categories of “short paper” or “poster”, i.e. a position paper is not a candidate to acceptance as “full paper”.

Camera-ready

After the reviewing process is completed, the contact author (the author who submits the paper) of each paper will be notified of the result, by e-mail. The authors are required to follow the reviews in order to improve their paper before the camera-ready submission.

Publications

All accepted papers will be published in the conference proceedings, under an ISBN reference. Conference proceedings will be published by Springer in the Communications in Computer and Information Science (CCIS) series.

Web-site

http://www.ibwas.com

Secretariat

E-mail: secretariat@ibwas.com

Important Dates

Submission of papers and all other contributions due: 24th September 2010 Notification of acceptance: 8th October 2010
Camera-ready version of accepted contributions: 15th October 2010
Conference: 11th – 12th November 2010


, , ,

Europa vulnerável a ciber-ataques? Ficção ou Realidade?

Mar 22nd

Posted by Carlos Serrao in OWASP | 606 views

No comments

Realidade… a mais pura das realidades.

O alerta vem agora da Câmara dos Lordes, que num relatório designado por “Protecting Europe Against Large-Scale Cyber-Attacks – Report with Evidence“, vem alertar Bruxelas para as políticas falhadas em matéria de criação de defesas online que protejam a União Europeia.

Não tem sido por falta de intervenção de entidades especializadas em segurança de informação, que têm vindo a alertar os governos para estes mesmos perigos. Um destes exemplos é o caso da OWASP, que tem feito consecutivos esforços para envolver alguns elementos com responsabilidades governativas na Europa, sem grande sucesso. Em 2008, tivemos um SUMMIT EU da OWASP no Algarve em que tentamos convidar pessoas responsáveis do governo a estarem presentes, sem resultados. No ano passado, em 2009, no IBWAS’09 em Madrid, tentamos igualmente fazê-lo, mais uma vez sem sucesso. Será que em 2010, no IBWAS’10 em Lisboa, vamos conseguir finalmente?

Em 2009, e mesmo sem a presença de representantes governamentais, a OWASP aprovou e emitiu um conjunto de recomendações para os Governos em termos de ciber-segurança. Estas recomendações/medidas podem ser consultadas aqui.

Parece continuar a existir nesta área um completo desconhecimento das ameaças e das suas reais consequências. Este novo relatório vem precisamente alertar para elas. É altura de tomar medidas sérias e começar desde já a abordar esta questão da ciber-segurança como uma questão central e de estratégia Europeia. Os nossos parceiros do outro lado do Oceano Atlântico já o fazem… para quando o mesmo na Europa?

Nesta questão, a sabedoria popular está absolutamente correcta: “o pior cego é aquele que não quer ver”.


, , , , , , ,

Mutillidae: a OWASP Top 10 em PHP

Mar 21st

Posted by Carlos Serrao in OWASP | 815 views

No comments

Quem lê o que eu tenho escrito por aqui, quer em algumas revistas em que tenho tido a oportunidade de escrever umas coisas, pode verificar facilmente que apresento como um dos principais motivos para a insegurança das aplicações web, a falta de formação.

A falta de formação, ou a formação deficiente de quem tem que desenvolver aplicações web-based, pode levar ao desenvolvimento de aplicações que, apesar de poderem ser excelentes do ponto de vista funcional, são péssimas do ponto de vista da segurança.

Acho por isso que a formação de programadores que desenvolvem aplicações para a web, deve conter forçosamente uma componente muito séria de segurança aplicacional. Os programadores devem compreender que aquilo que fazem a nível do código-fonte de uma determinada aplicação, afecta directamente a segurança da mesma.

A OWASP possui uma excelente ferramenta de apoio a esta formação. Esta ferramenta dá pelo nome de WebGoat, e foi desenvolvida com o objectivo de ser propositadamente insegura e vulnerável de forma a demonstrar as principais vulnerabilidades em aplicações web, e mostrando ainda de forma exaustiva e educativa, como as mesmas funcionam, quais os erros que lhes deram origem e qual o impacto na aplicação em causa. O WebGoat foi desenvolvido em Java e a pensar nos programadores de aplicações Java (J2EE).

O WebGoat é um excelente recurso de formação nesta área, mas não é o único. Existem muitos mais. Para quem desenvolve aplicações em PHP, um excelente recurso é a Mutillidae. A Mutillidae é composta por um conjunto de scripts desenvolvidos em PHP que implementam a OWASP Top 10.

O principal objectivo desta ferramenta é o de demonstrar de uma forma fácil os principais ataques a aplicações web e que vêm reportados no OWASP Top 10. Mas à semelhança do que acontecia com o WebGoat, não é o único recurso. Podem igualmente encontrar aqui uma lista de excelentes ferramentas com o objectivo de ajudar na formação de quem faz desenvolvimento para a Web e que necessita perceber um pouco mais sobre a segurança das mesmas.

Parece-me que existem cada vez menos desculpas sobre o desconhecimento de vulnerabilidades ou para a falta de formação sobre a forma como as eliminar das diversas aplicações web desenvolvidas.


, , , , ,

Skipfish

Mar 20th

Posted by Carlos Serrao in OWASP | 756 views

No comments

Aqui fica uma ferramenta para testes automáticos de aplicações web,desenvolvida pela Google, que pode ajudar a determinar a resolver algumas vulnerabilidades em aplicações web: skipfish.


, , , ,

Princípios de desenvolvimento de aplicações Web em Segurança

Mar 20th

Posted by Carlos Serrao in OWASP | 1,061 views

No comments

Aqui fica uma excelente apresentação do Líder do capítulo OWASP de Genebra, António Fontes, na ConFoo.ca em Montreal, sobre a “Segurança de Aplicações Web e os Primeiros Passos no direcção de um Ciclo de Vida de Desenvolvimento de Software Seguro”.

A principal mensagem está no slide 43. Vale a pena ver…


, , , ,

Facebook, Malware e a OWASP

Mar 19th

Posted by Carlos Serrao in OWASP | 584 views

No comments

Numa altura em que o Facebook conta já com mais de 400 milhões de utilizadores, a plataforma de redes sociais mais popular da Internet continua a ser bombardeada com esquemas específicos para ludibriar os utilizadores (spam, phishing, distribuição de malware, etc.) e para comprometer a segurança, privacidade e os bens dos mesmos.

Está a ser distribuído um email com o título “Facebook Password Reset Confirmation! Customer Support” que é uma ameaça potencial para utilizadores incautos, instalando nos seus computadores um agente de software que captura a informação de logins e passwords introduzidas pelos utilizadores nos seus sistemas. Especial cuidado para os utilizadores de sistemas operativos Windows-based.

Curiosamente a OWASP, sempre atenta aos principais fenómenos em aplicações web, produziu um guia que pode ser consultado online no site da OWASP e que lista as principais vulnerabilidades e protecções que devem ser consideradas no desenvolvimento de aplicações para o Facebook. Extremamente útil para quem desejar desenvolver aplicações para funcionarem na maior rede social de sempre, e que já ultrapassa o Google em termos de visitas.


, , , , ,

Se procuram emprego na área da Segurança…

Mar 18th

Posted by Carlos Serrao in OWASP | 528 views

No comments

… não cometam nenhum dos seguintes 5 pecados mortais:

  1. Falta de Enfoque;
  2. Pouca Preparação;
  3. Falar mal do anterior empregador;
  4. “Dourar” demasiado o seu CV;
  5. Parecer desinteressado.


, , ,

XSS demo para roubar passwords no Firefox

Mar 16th

Posted by Carlos Serrao in OWASP | 869 views

No comments

E aqui fica uma demo sobre como usar Cross Site Scripting (XSS) para roubar passwords do gestor de passwords do Firefox (aliás, técnicas semelhantes podem ser usadas para o Internet Explorer, Safari, Chrome, Opera e outros).

Mais um motivo para não usar a opção de deixar que o browser memorize as passwords por nós.


, , , , ,

Mais um top…

Mar 15th

Posted by Carlos Serrao in OWASP | 570 views

2 comments

Aqui fica mais um top de vulnerabilidades em aplicações web, desta vez da HP que lista as 5 principais vulnerabilidades.

Esta lista pode ser consultada aqui.


, , ,

Segurança no Ciclo de Vida do Desenvolvimento de Aplicações

Mar 15th

Posted by Carlos Serrao in OWASP | 644 views

No comments

Os programadores e engenheiros de software são uma parte extremamente importante no desenvolvimento de novas aplicações. É, em parte, da sua responsabilidade a incorporação de boas práticas de desenvolvimento que promovem a segurança das aplicações que desenvolvem.

A Microsoft, à semelhança do que já acontece há muito tempo com outras organizações percebe isto e está agora a promover de uma forma mais aberta o seu Microsoft Security Development Lifecycle, em que oferece informação e suporte para o desenvolvimento de aplicações em segurança para ambientes da Microsoft.

Sem dúvida um recurso muito valioso para quem desenvolve para este tipo de plataformas e não só. Vale a pena ver…


, , , ,