No IDG Now! está publicado um artigo dos mais diversos tipos de ataques a sites com base numa compilação do Wikipedia.
Uma boa compilação que complemente com a leitura do OWASP Top Ten Project.
Todos os posts tagados owasp
Ataque ao Citigroup foi explorado com falha do Top 10 da OWASP
Segundo um investigador de segurança, os utilizadores maliciosos que comprometeram cerca de 200.000 detalhes de conta de clientes do Citigroup utilizaram uma falha Insecure Direct Object (4ª falha no top10 da OWASP) para atingir o objectivo.
De facto, acho ridículo empresas desta dimensão estarem vulneráveis a falhas deste género… Esperemos que aprendam a lição.
Boa Páscoa a todos
Desejo a todos os amigos e seguidores do Web Segura, uma Boa Páscoa.
Aproveitem o fim de semana prolongado para realizar cópias de segurança e mudar palavras passe.
Também deixo aqui referência a um novo desafio de segurança web, elaborado por alguns membros da OWASP, que podem valer uma entrada grátis no OWASP AppSec Europe 2011 a realizar na Irlanda.
Desafio ‘Jotto The Game’. És capaz?
Recebi hoje a notificação de um novo desafio para ganhar entradas para o OWASP AppSec EU 2011 e, como até gosto de desafios, decidi participar e divulgar.
O quiz é uma versão alterada do vicnum e permite explorar falhas web na aplicação.
Eu estou presente na lista dos que hackaram a base de dados e deixo aqui o desafio para também experimentarem.
Hackers profissionais alertam para falhas na segurança dos sites portugueses
No Económico:
Vários especialistas internacionais em segurança de aplicações na Internet alertaram hoje para as vulnerabilidades dos sites portugueses.
“Se houver uma intenção criminosa de se entrar nos sítios portugueses, estão quase todos vulneráveis”, afirmou à agência Lusa o português Dinis Cruz, director da OWASP (Open Web Application Security), organização internacional especializada em segurança de aplicações na Internet.
“Portugal está tecnologicamente desenvolvido e é irónico estar tão fragilizado online”, sublinhou o especialista, durante o encontro anual de vários especialistas em segurança na Internet, que decorre em Torres Vedras.
Os chamados hackers profissionais demonstraram como é possível entrar em sites vulneráveis, dando azo ao roubo de identidades e dados pessoais, de dinheiro pelo acesso a contas bancárias online e de informação, assim como ao uso malicioso de produtos de empresas.
No encontro, participam especialistas como Jason Taylor, criador de uma das versões do Internet Explorer, e Michael Coates, investigador do Firefox, um dos navegadores alternativos ao Internet Explorer.
“Os sítios do Estado também não são protegidos”, alertou Diniz Cruz, para quem o próprio sistema de segurança interna do país “está em causa”.
Para os especialistas, Portugal está num nível de não reconhecer as falhas de segurança da Internet como um problema, pelo que “não tem uma indústria forte em segurança de aplicações”.
Outro dos problemas passa pela legislação que torna os ataques dos hackers ilegais, não permitindo aos profissionais demonstrarem as fragilidades das aplicações de segurança na Internet e apontar soluções.
“Portugal tem uma oportunidade de se associar a um parceiro tecnológico”, frisou Dinis Cruz. Como primeiro passo, a OWASP acordou com a Agência para a Sociedade do Conhecimento vir a estabelecer um protocolo, destinado a criar em Portugal uma academia que vai dar formação na área, sobretudo a estudantes universitários.
No encontro, que decorre até sexta-feira em Torres Vedras, participam 180 especialistas da OWASP, apresentando projectos de investigação e identificando problemas e soluções no âmbito das falhas nas aplicações de segurança na Internet.
David Sopas: Obrigado Vitor por partilhar a sua experiência....
Vitor Manuel Lopes Marques: Eu não caí mas esteve quase. No 1º que dizia ser inglês e tinha casado...
sergio: to recebendo todos os dias isso mas eu nunca clico no link obrigado pe...
