Pessoal, tomei vergonha na cara e voltei a gravar os videocasts. Como sempre, cometendo alguns erros e falando algumas besteiras. Já peço desculpas e espero que vcs gostem.
Pessoal, tomei vergonha na cara e voltei a gravar os videocasts. Como sempre, cometendo alguns erros e falando algumas besteiras. Já peço desculpas e espero que vcs gostem.
SomeOne_AntiSec
29 ago 2012Ce ta magro hein!
Lucas
29 ago 2012Tava pensando nisso hj.. poderia voltar esses videos.
Bela iniciativa.
Emerson Santos
29 ago 2012Ficou show ! enxurrada de informações … enfim aprendi a pronuncia do Nginx (:
Mantenha a frequência … a gente agradece !!!
Ricardo Marques
30 ago 2012caraca! cm vc está magro! =x Demoro, os webcasts são massa!
Ls
30 ago 2012Qual o site que ele falou no final??
Edson Pereira Junior
30 ago 2012Boa dia Gustavo , eu já te perguntei nos comentários do vídeo, mas voltarei a perguntar ; Quais vulnerabilidades apresentadas pela Owasp Top 10 , o Modsecurity não consegue segurar?
Att
Edson.junior14@fatec.sp.gov.br
Gustavo Lima
30 ago 2012Quem ?
Gustavo Lima
30 ago 2012Edson, boa pergunta e essa eu tive que pesquisar para não responder besteira. O modsecurity, na verdade, as suas regras em linhas gerais, protegem dos seguintes tipos de ataque:
HTTP Protection – detecting violations of the HTTP protocol and a locally defined usage policy.
Real-time Blacklist Lookups – utilizes 3rd Party IP Reputation
Web-based Malware Detection – identifies malicious web content by check against the Google Safe Browsing API.
HTTP Denial of Service Protections – defense against HTTP Flooding and Slow HTTP DoS Attacks.
Common Web Attacks Protection – detecting common web application security attack.
Automation Detection – Detecting bots, crawlers, scanners and other surface malicious activity.
Integration with AV Scanning for File Uploads – detects malicious files uploaded through the web application.
Tracking Sensitive Data – Tracks Credit Card usage and blocks leakages.
Trojan Protection – Detecting access to Trojans horses.
Identification of Application Defects – alerts on application misconfigurations.
Error Detection and Hiding – Disguising error messages sent by the server.
Essa lista de defesa foi retirada do seguinte link da OWASP. Sendo assim e baseando-se no OWASP 10, o modsecurity não consegue proteger, ao meu ver, 6 das vulnerabilidades top 10. Volto a repetir, o modsecurity é mais uma camada de segurança, onde as suas regras, bem implementadas, aumentam a segurança do seu ambiente, mas não garantem a prevenção de todos os tipos de ataques existentes. Na verdade, eu não sei de nada que garanta, a não ser que vc fique fora da web 🙂
Luiz Vieira
30 ago 2012teste de comments
Antonio Luiz
30 ago 2012teste
Leandro
30 ago 2012Olá Gustavo,
Excelente post!
Obrigado pelas informações e dicas!
Edson Pereira jr
30 ago 2012Desculpa , mas quais são as 4 ele conseguiria dar uma “segurada”?
Me corrija se eu estiver errado:
1 – A1 – Injection
2 – A2 – Cross-Site Scripting
3 – A5 – CSRF
4 – A6 – Security Misconfiguration
Muito obrigado por ter respondido , sou extremamente interessado em segurança em web server . Até…
Maicon
30 ago 2012Excelente notícia!
Não perco um!
Gustavo Lima
31 ago 2012Edson, o a6 não tem como o modsecurity garantir, vc concorda ?
Edson Pereira Junior
31 ago 2012Pensei que junto com o Error Detection and Hiding e o Identification of Application Defects , poderia ajudar com A6, mas então qual seria o quarto An o Modsecurity seguraria?
Jota
31 ago 2012Gustavo, aceitamos suas desculpas sobre o curso EAD, mas quando vai voltar online? E as práticas serão realizadas??
Gustavo Lima
31 ago 2012Sim Jota, voltarão sim.. Estou preparando o material e o meetcheep liberou o meu acesso ainda pouco.. 🙂
Edson Pereira Junior
4 set 2012Então além do A1 , A2 e A5 … Qual seria o quarto ?
Marcos
6 set 2012Opa..
Até que fim um evento de segurança aqui em manaus..
dia 20 estaremos marcando presença!
boa iniciativa ae Gustavo.
Valeu.
Jota
6 set 2012Volta quando o curso, pensei q ia ter essa semana e nada??