Videocast do Coruja de TI – De volta!!!

Tags: , , , , , , ,

Pessoal, tomei vergonha na cara e voltei a gravar os videocasts. Como sempre, cometendo alguns erros e falando algumas besteiras. Já peço desculpas e espero que vcs gostem.

 

COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

20 comentários em “Videocast do Coruja de TI – De volta!!!

  1. Edson Pereira Junior

    Boa dia Gustavo , eu já te perguntei nos comentários do vídeo, mas voltarei a perguntar ; Quais vulnerabilidades apresentadas pela Owasp Top 10 , o Modsecurity não consegue segurar?

    Att

    Edson.junior14@fatec.sp.gov.br

  2. Gustavo Lima

    Edson, boa pergunta e essa eu tive que pesquisar para não responder besteira. O modsecurity, na verdade, as suas regras em linhas gerais, protegem dos seguintes tipos de ataque:
    HTTP Protection – detecting violations of the HTTP protocol and a locally defined usage policy.
    Real-time Blacklist Lookups – utilizes 3rd Party IP Reputation
    Web-based Malware Detection – identifies malicious web content by check against the Google Safe Browsing API.
    HTTP Denial of Service Protections – defense against HTTP Flooding and Slow HTTP DoS Attacks.
    Common Web Attacks Protection – detecting common web application security attack.
    Automation Detection – Detecting bots, crawlers, scanners and other surface malicious activity.
    Integration with AV Scanning for File Uploads – detects malicious files uploaded through the web application.
    Tracking Sensitive Data – Tracks Credit Card usage and blocks leakages.
    Trojan Protection – Detecting access to Trojans horses.
    Identification of Application Defects – alerts on application misconfigurations.
    Error Detection and Hiding – Disguising error messages sent by the server.

    Essa lista de defesa foi retirada do seguinte link da OWASP. Sendo assim e baseando-se no OWASP 10, o modsecurity não consegue proteger, ao meu ver, 6 das vulnerabilidades top 10. Volto a repetir, o modsecurity é mais uma camada de segurança, onde as suas regras, bem implementadas, aumentam a segurança do seu ambiente, mas não garantem a prevenção de todos os tipos de ataques existentes. Na verdade, eu não sei de nada que garanta, a não ser que vc fique fora da web 🙂

  3. Edson Pereira jr

    Desculpa , mas quais são as 4 ele conseguiria dar uma “segurada”?

    Me corrija se eu estiver errado:

    1 – A1 – Injection
    2 – A2 – Cross-Site Scripting
    3 – A5 – CSRF
    4 – A6 – Security Misconfiguration

    Muito obrigado por ter respondido , sou extremamente interessado em segurança em web server . Até…

  4. Edson Pereira Junior

    Pensei que junto com o Error Detection and Hiding e o Identification of Application Defects , poderia ajudar com A6, mas então qual seria o quarto An o Modsecurity seguraria?

  5. Jota

    Gustavo, aceitamos suas desculpas sobre o curso EAD, mas quando vai voltar online? E as práticas serão realizadas??

  6. Marcos

    Opa..
    Até que fim um evento de segurança aqui em manaus..
    dia 20 estaremos marcando presença!
    boa iniciativa ae Gustavo.
    Valeu.

DEIXAR UM COMENTÁRIO

MENU