Hoje, eu estava discutindo com um camarada sobre vulnerabilidades em aplicações Web. Comentei de XSS, SQL Injection e tantas outras, mas ele não entendeu muito bem. Normal, segurança de aplicações para muitos é uma coisa nova e um tanto que complicada. Não temos cursos sobre desenvolvimento de aplicações com segurança em faculdades, infelizmente.

Tem muito material legal por aí, mas poucos tem o trabalho de explicar como funciona um ataque e a defesa de aplicações Web. Acabei encontrando um conjunto de vídeo que demonstra isso e muito bem.

O primeiro deles é sobre Cross-site Scripting (XSS)

Já o segundo é sobre SQL Injection:

Eu sou dá opinião que para você saber se defender, você deve saber atacar. Era o mestre de artes marciais do Bruce Lee, Yip Man, que dizia que você tem que saber atacar para não atacar, ser neutro. Com certeza isso vale para segurança da informação.

Um problema que eu vejo, aqui no Brasil, é que poucos centros de treinamentos e cursos ensinam aos seus alunos como atacar e como se defender.

Estes cursos e ou centros alegam que é antiético e perigoso ensinar como realizar ataques, que o aluno poderá utilizar este conhecimento para o mal, mas como preparar, de fato, um profissional para defender uma rede, aplicação ou empresa se ele não sabe as características reais de um ataque, só possuindo uma ideia teórica sobre aquilo.

Por isso que eu estou indicando para vocês um curso sobre segurança em aplicações que será ministrado pelos organizadores do H2HC, Rodrigo Rubira Branco e Felipe Balestra. O nome do curso é Secure Coding e possui uma duração prevista de 2 dias.

Para quem não sabe, Rodrigo e Felipe são alguns dos profissionais de segurança mais respeitados no mercado, entendem e muito sobre o assunto e já ministraram dezenas de cursos. Ambos irão demonstrar ataque e defesa, excelente oportunidade para aprender com quem entende do assunto.

Compartilhar:

Este post tem 8 comentários

  1. Quais ferramentas free pra pentesting web você recomenda?

  2. são tantas, mas comece olhando o que vem no back track, distribuição de segurança Linux.

  3. Gustavo, as auditorias em cima de aplicações WEB, funcionam por testes deste tipo correto? Uma auditoria em uma Aplicação WEB em média demora quanto tempo?

    Ou existe algo de anormal em uma Auditoria em Aplicação WEB.

    Ps.: Lembrando que seria uma auditoria somente na aplicação WEB, nada relacionado com o servidor em si.

    Abraços.

  4. Eu uso mto o Acunectix Web Vulnerability Scanner para fazer testes em servidores Web.
    É pago, mas, é mto bem pago…

  5. Gustavo, qual é o curso de graduação mais indicado para quem quer iniciar no mundo da segurança da informação?

  6. Eu indico os cursos que são ministrados na FATEC/SP

Deixe uma resposta

Fechar Menu