Pessoal, tomei vergonha na cara e voltei a gravar os videocasts. Como sempre, cometendo alguns erros e falando algumas besteiras. Já peço desculpas e espero que vcs gostem.
Ficou show ! enxurrada de informações … enfim aprendi a pronuncia do Nginx (:
Mantenha a frequência … a gente agradece !!!
Ricardo Marques 30 ago 2012
caraca! cm vc está magro! =x Demoro, os webcasts são massa!
Ls 30 ago 2012
Qual o site que ele falou no final??
Edson Pereira Junior 30 ago 2012
Boa dia Gustavo , eu já te perguntei nos comentários do vídeo, mas voltarei a perguntar ; Quais vulnerabilidades apresentadas pela Owasp Top 10 , o Modsecurity não consegue segurar?
Edson, boa pergunta e essa eu tive que pesquisar para não responder besteira. O modsecurity, na verdade, as suas regras em linhas gerais, protegem dos seguintes tipos de ataque:
HTTP Protection – detecting violations of the HTTP protocol and a locally defined usage policy.
Real-time Blacklist Lookups – utilizes 3rd Party IP Reputation
Web-based Malware Detection – identifies malicious web content by check against the Google Safe Browsing API.
HTTP Denial of Service Protections – defense against HTTP Flooding and Slow HTTP DoS Attacks.
Common Web Attacks Protection – detecting common web application security attack.
Automation Detection – Detecting bots, crawlers, scanners and other surface malicious activity.
Integration with AV Scanning for File Uploads – detects malicious files uploaded through the web application.
Tracking Sensitive Data – Tracks Credit Card usage and blocks leakages.
Trojan Protection – Detecting access to Trojans horses.
Identification of Application Defects – alerts on application misconfigurations.
Error Detection and Hiding – Disguising error messages sent by the server.
Essa lista de defesa foi retirada do seguinte link da OWASP. Sendo assim e baseando-se no OWASP 10, o modsecurity não consegue proteger, ao meu ver, 6 das vulnerabilidades top 10. Volto a repetir, o modsecurity é mais uma camada de segurança, onde as suas regras, bem implementadas, aumentam a segurança do seu ambiente, mas não garantem a prevenção de todos os tipos de ataques existentes. Na verdade, eu não sei de nada que garanta, a não ser que vc fique fora da web 🙂
Edson, o a6 não tem como o modsecurity garantir, vc concorda ?
Edson Pereira Junior 31 ago 2012
Pensei que junto com o Error Detection and Hiding e o Identification of Application Defects , poderia ajudar com A6, mas então qual seria o quarto An o Modsecurity seguraria?
Jota 31 ago 2012
Gustavo, aceitamos suas desculpas sobre o curso EAD, mas quando vai voltar online? E as práticas serão realizadas??
Ce ta magro hein!
Tava pensando nisso hj.. poderia voltar esses videos.
Bela iniciativa.
Ficou show ! enxurrada de informações … enfim aprendi a pronuncia do Nginx (:
Mantenha a frequência … a gente agradece !!!
caraca! cm vc está magro! =x Demoro, os webcasts são massa!
Qual o site que ele falou no final??
Boa dia Gustavo , eu já te perguntei nos comentários do vídeo, mas voltarei a perguntar ; Quais vulnerabilidades apresentadas pela Owasp Top 10 , o Modsecurity não consegue segurar?
Att
Edson.junior14@fatec.sp.gov.br
Quem ?
Edson, boa pergunta e essa eu tive que pesquisar para não responder besteira. O modsecurity, na verdade, as suas regras em linhas gerais, protegem dos seguintes tipos de ataque:
HTTP Protection – detecting violations of the HTTP protocol and a locally defined usage policy.
Real-time Blacklist Lookups – utilizes 3rd Party IP Reputation
Web-based Malware Detection – identifies malicious web content by check against the Google Safe Browsing API.
HTTP Denial of Service Protections – defense against HTTP Flooding and Slow HTTP DoS Attacks.
Common Web Attacks Protection – detecting common web application security attack.
Automation Detection – Detecting bots, crawlers, scanners and other surface malicious activity.
Integration with AV Scanning for File Uploads – detects malicious files uploaded through the web application.
Tracking Sensitive Data – Tracks Credit Card usage and blocks leakages.
Trojan Protection – Detecting access to Trojans horses.
Identification of Application Defects – alerts on application misconfigurations.
Error Detection and Hiding – Disguising error messages sent by the server.
Essa lista de defesa foi retirada do seguinte link da OWASP. Sendo assim e baseando-se no OWASP 10, o modsecurity não consegue proteger, ao meu ver, 6 das vulnerabilidades top 10. Volto a repetir, o modsecurity é mais uma camada de segurança, onde as suas regras, bem implementadas, aumentam a segurança do seu ambiente, mas não garantem a prevenção de todos os tipos de ataques existentes. Na verdade, eu não sei de nada que garanta, a não ser que vc fique fora da web 🙂
teste de comments
teste
Olá Gustavo,
Excelente post!
Obrigado pelas informações e dicas!
Desculpa , mas quais são as 4 ele conseguiria dar uma “segurada”?
Me corrija se eu estiver errado:
1 – A1 – Injection
2 – A2 – Cross-Site Scripting
3 – A5 – CSRF
4 – A6 – Security Misconfiguration
Muito obrigado por ter respondido , sou extremamente interessado em segurança em web server . Até…
Excelente notícia!
Não perco um!
Edson, o a6 não tem como o modsecurity garantir, vc concorda ?
Pensei que junto com o Error Detection and Hiding e o Identification of Application Defects , poderia ajudar com A6, mas então qual seria o quarto An o Modsecurity seguraria?
Gustavo, aceitamos suas desculpas sobre o curso EAD, mas quando vai voltar online? E as práticas serão realizadas??
Sim Jota, voltarão sim.. Estou preparando o material e o meetcheep liberou o meu acesso ainda pouco.. 🙂
Então além do A1 , A2 e A5 … Qual seria o quarto ?
Opa..
Até que fim um evento de segurança aqui em manaus..
dia 20 estaremos marcando presença!
boa iniciativa ae Gustavo.
Valeu.
Volta quando o curso, pensei q ia ter essa semana e nada??