SegInfo – Portal, Podcast e Evento sobre Segurança da Informação
Notícias, Artigos e Inovação em Tecnologia e Segurança da Informação
Iniciado em 2014, o projeto OWASP Internet of Things foi elaborado para auxiliar os desenvolvedores, fabricantes, empresas e consumidores a tomar decisões melhores em relação à criação e uso de sistemas de IoT. A versão de 2018 apresenta as dez principais vulnerabilidades que devem ser evitadas ao criar, implantar ou gerenciar sistemas de IoT. O foco principal… Ler mais
Na última segunda-feira, dia 20 de novembro, o Open Web Application Security Project (OWASP) lançou oficialmente a atualização dos 10 principais riscos de segurança de aplicações web . De acordo com o OWASP, algumas mudanças significativas ocorreram desde a última vez que a lista foi divulgada (em 2013) e contribuíram para a atualização do Top… Ler mais
Na última semana, a OWASP anunciou o lançamento da OWASP SAMM v1.5. A mais recente versão traz instruções detalhadas do modelo de maturidade de segurança com planilhas, diretrizes e exemplos de estudos de caso que permitem às organizações não só entender o cenário que elas se encontram, mas também entender o que funcionou (e o que não… Ler mais
O projeto OWASP TOP 10 lançou na última segunda-feira, 10 de abril, a nova lista das principais vulnerabilidades encontradas em aplicações web, exibindo os efeitos, risco e formas de mitigação. Qual é o propósito do projeto OWASP Top 10? O projeto OWASP Top 10 divulga as dez maiores falhas e riscos de segurança em aplicações web, apontando para… Ler mais
SegInfocast #32 – Faça o download aqui. (12:18 min, 8,5 MB) Paulo Sant’anna recebe novamente Davidson Boccardo, instrutor da Academia Clavis Segurança da Informação, para uma conversa sobre Desenvolvimento Seguro. Qual a importância do desenvolvimento seguro desde a concepção dos sistemas? Atualmente, nota-se uma mudança no pensamento por parte das empresas e governos sobre o tema… Ler mais
Uma das ideias mais repetidas nos círculos de segurança da informação é a de que os usuários são o elo mais frágil da cadeia, quando falamos da proteção de informações. Isso porque as pessoas podem ser enganadas e cometem erros operacionais que causam violações de segurança. O raciocínio faz todo o sentido, entretanto há… Ler mais
O OWASP LAPSE+ é um scanner para detecção de vulnerabilidades de injeção de dados não-confiáveis em aplicações Java EE. Ele foi desenvolvido como um plugin para o IDE Eclipse, especificamente para o Eclipse Helios e o Java 1.6 ou superior. O LAPSE+ é baseado no software LAPSE, de licença GPL, desenvolvido pelo SUIF Compiler Group… Ler mais
O projeto OWASP AntiSamy é uma API que possibilita aos usuários inserirem HTML e CSS em uma página web (como o perfil de uma rede social ou o campo de comentários de um blog) sem exposição a vulnerabilidades XSS. A maior mudança desse lançamento é a troca oficial do motor DOM pelo SAX, agora o… Ler mais
A OWASP lançou a versão 3 do OWASP CSRFGuard, uma biblioteca disponibilizada como software livre (licença BSD) com o objetivo de mitigar os riscos de ataques do tipo Cross-Site Request Forgery (CSRF) em sistemas JavaEE. Com a utilização do CSRFGuard, a aplicação JavaEE utiliza tokens de prevenção CSRF enviados pelo browser do cliente via HTTP,… Ler mais
Continuando a série de palestras da conferência OWASP AppSec USA 2010 (aqui e aqui), trazemos hoje a palestra Assessing, Testing & Validating Flash Content de Peleus Uhley, especialista de segurança da Adobe. No vídeo ele discorre sobre cross-site scripting (XSS), exame de código, políticas de cross-domain e como proteger melhor o servidor. Peleus Uhley, Assessing,… Ler mais
