Posts tagged segurança

Arachni – nova ferramenta de detecção de vulnerabilidades de aplicações web

Jul 16th

Posted by Carlos Serrao in OWASP | 338 views

No comments

Aqui fica mais uma ferramenta para detecção automática de vulnerabilidades em aplicações web, desenvolvida em Ruby. Esta ferramenta chama-se Arachni.

Está ainda numa fase de desenvolvimento muito intenso, mas pode ser mais uma ferramenta importante a juntar ao rol das existentes.


, , , ,

Desenvolvimento Seguro com a Zend Framework

Jul 15th

Posted by Carlos Serrao in OWASP | 285 views

No comments

Aqui fica um link para um webinar promovido pela Zend sobre um conjunto de boas práticas para o desenvolvimento em segurança usando a Zend Framework.

É necessário o registo no site da Zend, mas vale a pena.


, , , , ,

OWASP Top 10 para programadores .Net

Jul 15th

Posted by Carlos Serrao in OWASP | 304 views

No comments

O Bruno Morisson partilhou hoje na ML da InfoSec-Pros-PT um link muito interessante – um conjunto de artigos num blog de um tal de Troy Hunt, um arquitecto de software.

Nesta série de artigos, são abordados os diversos riscos identificados pelo OWASP Top 10, sendo explicados detalhadamente cada um deles, com exemplos, numa perspectiva de um programador de .Net.

Para já, já existem os seguintes artigos sobre três dos principais riscos:

Mais artigos sobre os restantes riscos OWASP devem seguir-se.


, , , , ,

Armazenamento de Informações de Sessões Cifradas

Jul 14th

Posted by Carlos Serrao in OWASP | 258 views

1 comment

Aqui fica uma boa dica sobre guardar informação de sessões em PHP, de uma forma cifrada. Vale a pena uma olhadela!


, , , ,

Apresentação na World Internet Project 2010 (WIP2010)

Jul 6th

Posted by Carlos Serrao in OWASP | 317 views

No comments

O World Internet Project (WIP) é um projecto internacional e colaborativo que olha para o impacto social, político e económico da Internet e de outras novas tecnologias.

O WIP reuniu-se em Lisboa, no ISCTE-IUL, no seu 11º encontro anual, a ter lugar entre 6 e 8 de Julho, e juntou um conjunto de pessoas de todo o mundo que discutem alguns dos problemas com a actual Internet.

Estive lá, e fiz uma apresentação muito sucinta de alguns dos problemas da WWW, e do OWASP.

Aqui está a apresentação.


, , , , ,

Nova versão da ferramenta OWASP JBroFuzz

Jul 1st

Posted by Carlos Serrao in OWASP | 277 views

No comments

Foi lançada uma nova versão da ferramenta JBroFuzz a ser desenvolvida num dos projectos patrocinados pela OWASP.

Ok, mas o que é isto do Fuzzing e para que serve?

Nada melhor do que usar a definição na Wikipedia, que define o Fuzz testing ou fuzzing como sendo uma técnica de testes a software que passa input inválido, inesperado e aleatório para uma determinada aplicação de software. Se o programa falhar (por exemplo se crashar), é possível detectar os defeitos do mesmo.

No caso específico do JBroFuzz, trata-se de um fuzzer específico para aplicações web. O JBroFuzz pode ser utilizado para enviar pedidos fuzzing para aplicações web, através do protocolo HTTP ou HTTPS.

A ferramenta gera pedidos, envia-os para a aplicação em cause e regista as respostas que recebe de volta. Não tenta identificar se um determinado site é vulnerável ou não, necessitando depois intervenção e análise manual.

Mais uma ferramenta da OWASP, a juntar à colecção de excelentes recursos disponibilizados gratuitamente pela organização.


, , , , , ,

10 dicas de segurança para o WordPress

Jul 1st

Posted by Carlos Serrao in OWASP | 270 views

No comments

Para quem usa a plataforma WordPress para ter o seu próprio blog na rede, a Smashing Magazine compilou uma série de 10 dicas de segurança que podem ajudar a proteger o seu blog.

Aqui fica a lista:

  1. Prevenir que informação desnecessária seja mostrada
  2. Forçar a utilização de SSL
  3. Usar o .htaccess para proteger o ficheiro wp-config
  4. Banir bots e utilizadores não desejados
  5. Proteger o blog WordPress de injecções de scripts
  6. Lutar contra os usurpadores de conteúdos
  7. Criar um plug-in para proteger o blog contra pedidos maliciosos de URL
  8. Remover o número de versão do WordPress
  9. Alterar o nome do utilizador “Admin” que vem configurado por defeito
  10. Impedir a navegação em directorias
Estas dicas permitem que o seu blog fique um pouco mais seguro.


, , , ,

Just 4 Meeting

Jun 18th

Posted by Carlos Serrao in OWASP | 259 views

No comments

É já nos próximos dias 25, 26 e 27 que se vai realizar o evento Just 4 Meeting, Information Security Meeting, Workshops and Training Sessions.

Eu vou lá estar…

Estou particularmente interessado nas seguintes sessões:

  • 100% hands-on W3AF
  • DDos

Podem consultar a agenda aqui, assim como podem ver o cartaz do evento aqui.

Depois conto como foi.


, , , ,

O estado da segurança das aplicações Web

May 11th

Posted by Carlos Serrao in OWASP | 424 views

No comments

O Ponemon Institute, devidamente patrocinado pela Imperva e pela WhiteHat Security (que estão devidamente representados na OWASP) levaram a cabo um estudo alargado sobre a Segurança de Aplicações Web.

O estudo foi conduzido com o objectivo de perceber os riscos de sites de web inseguros e como as organizações estão a lidar com as ameaças internas e externas. O estudo revela que apesar de muitas organizações terem algumas das suas aplicações críticas de negócio acessíveis através dos seus sites web, as mesmas não conseguem envolver os recursos necessários para garantir a protecção e segurança destas aplicações web que são importantes nas suas operações. Isto é particularmente preocupante se considerarmos que a camada aplicacional é um dos alvos preferidos de atacantes.

O estudo envolveu cerca de 638 empresas dos Estados Unidos e um conjunto de empresas de segurança. O estudo revela que os sites web estão em risco pelos seguintes motivos:

  • 70% dos inquiridos não acreditam que as suas organizações reservem e invistam os recursos suficientes para garantir a segurança e proteger as suas aplicações Web críticas;
  • 34% de vulnerabilidades urgentes e críticas não são resolvidas;
  • 38% acreditam que será necessário mais do que 20h de tempo de programação (em média) para resolver uma vulnerabilidade;
  • 55% dos inquiridos acreditam que os programadores estão demasiado ocupados para responderem aos problemas de segurança detectados.

É um estudo muito interessante, e com resultados igualmente interessantes.

Aconselha-se a leitura do mesmo. Aqui.


, , ,

Jarlsberg

May 7th

Posted by Carlos Serrao in OWASP | 492 views

No comments

Jarlsberg é o seu nome, e é uma aplicação desenvolvida pela Google para demonstrar como funcionam as principais vulnerabilidades em aplicações Web. Como já havia referido por aqui, o gigante da Web parece finalmente ter acordado para o verdadeiro problema de segurança das aplicações Web, e começa a apostar bem forte na protecção das mesmas, como uma forma de proteger o seu próprio core business.

O Jarlsberg é portanto uma aplicação web inerentemente insegura, um pouco à semelhança do que acontece com o Webgoat da OWASP, que serve para demonstrar como funcionam os mais diversos ataques a aplicações Web. A ferramenta está organizada em diversos laboratórios de teste, que permitem que alguém possa ir evoluindo no estudos dos mesmos. É possível usar técnicas de black box hacking e de white box hacking para ir explorando as múltiplas vulnerabilidades da aplicação, que vai desde cross-site scripting e cross-site request forgery a perdas de informação, negação de serviços e execução remota de código.

O Jarlsberg funciona integralmente online, sobre o Google AppEngine, foi escrito em Python, e constitui-se assim como excelente recurso de formação e de treino nesta área. Ao longo de diversas lições devidamente explicativas e claras, e com a ajuda da ferramenta da Google, o utilizador irá perceber um pouco melhor todo este contexto de segurança aplicacional para a Web.

Vale a pena ver.


, , , , , , , ,
1234»