Recentemente foi detectada uma vulnerabilidade que afetas os principais sistemas operacionais da família Microsoft: Windows Server 2003, Windows Server 2008, Windows Vista, XP e 7. A vulnerabilidade ocorre em atalhos com extensão .LNK ou .PIF e permite que seja invocada alguma DLL maliciosa. Esta é uma vulnerabilidade de alta criticidade e caso algum atacante consiga […]
Introdução: O ModSecurity é um firewall de aplicação de código livre que roda como um módulo do servidor Web Apache e possui versões para Linux e Windows. O firewall de aplicação, também conhecido como WAF (Web Application Firewall) tem por objetivo bloquear diversos tipos de ataques, como o Cross-Site Scripting (XSS), SQL Injection, Command Injection, […]
Publicamos uma notícia anteriormente sobre um comparativo de Scanners de Aplicação Web. Mas afinal, o que é um Scanner de Aplicação Web? Muitas empresas resolvem fazer sites, lojas virtuais, a fim de divulgar sua empresa na internet ou ainda comercializar seus produtos e serviços na Web. Também existe a necessidade de disponibilizar sistemas, extranet, CRM […]
A área de Segurança de Informação ou Segurança de TI é uma das áreas com maior peculiaridade dentro das empresas, pois é ela quem define os controles e mecanismos físicos e lógicos que devem ser adotados pela empresa para mitigar ameaças e reduzir riscos, estes muitas vezes diretamente associados ao negócio. Essa situação se agrava […]
Cada vez mais, com o processo de eliminação do papel, vantagem competitiva e velocidade dos negócios, os processos antes realizados em papel são substituídos por sistemas e tecnologias que apóiam decisões, facilitam o gerenciamento e aprovações de solicitações, entre outros. A tal “informática” evoluiu e se transformou em Tecnologia da Informação – TI, e isso […]
Quais são as melhores práticas para desenvolver um código de qualidade? Existem diversas metodologias disponíveis para tratar desses assuntos, como o guia de desenvolvimento da OWASP e o modelo de maturidade de software OpenSAMM do Pravir Chandra, livros como o Software Security: Building Security In do Gary McGraw, entre diversas outras referências, modelos de SDLC […]
Recentemente, a Symantec divulgou os resultados de sua pesquisa anual sobre cyberataque, a qual mais uma vez revela o aumento de ataques virtuais e os custos consequentes a estes. Este estudo considerou 2100 empresas de todo mundo, sendo 73 brasileiras. Para se ter uma idéia, 100% empresas consultadas disseram ter sofrido algum tipo de perda […]
Há um bom tempo estudamos a efetividade dos scanners de aplicação Web e, apesar das melhorias observadas nessas ferramentas, ainda está longe de podermos confiar cegamente nos resultados obtidos por elas. Recentemente, Larry Suto, pesquisador que ficou famoso por um estudo comparativo entre três grandes ferramentas (Webinspect, AppScan, NTOSpider) em 2007, do qual os resultados […]
Durante a sexta edição da H2HC, aconteceu o primeiro H2CSO, um encontro apoiado pela Decision Report que colocou hackers e CSOs, gerentes e diretorias que respondem pela segurança da informação, juntos em um fórum para debate e aproximação dos dois lados da “força”. Estavam presentes CSO de diversas empresas como Daniel Sobral, da Friboi, Antonio […]
Hoje em dia com os inúmeros ataques via aplicações web com banco de dados e suas facilidades, o uso de WAF (Web Application Firewall) está sendo mais comum. O WAF pode trabalhar basicamente de 3 formas: Blacklist, Whitelist e Profiling, sendo que a mais comum aplicada (mais fácil de ser implementada) é blacklist, onde são […]