Suas aplicações são seguras?

Conheça a Conviso!

ASLR – Address Space Layout Randomization

Certamente o ASLR foi um dos mecanismos de segurança mais eficazes na contenção da explosão no número de explorações com sucesso no inicio do Século XXI. Inicialmente foi apresentado como solução genérica para problemas de buffer overflow. Explorações que assumiam que o aplicativo vulnerável seria carregado em memória usando blocos de endereços fixos foram invalidadas. Muito […]

Leia mais

Implementando um processo de segurança em desenvolvimento

Com a crescente demanda por iniciativas de segurança em desenvolvimento de software é comum encontrarmos soluções mirabolantes e ferramentas que implementam segurança “Out-Of-The-Box”. Não acredite nestas iniciativas. Para produção de um software seguro é necessário a adoção de métodos que garantam a qualidade durante todas as etapas do desenvolvimento [1][2]. Antes de pensar em segurança […]

Leia mais

Porque o Requisito 6 do PCI DSS pode ser mais um Snake Oil

Este artigo está também disponível para leitura on-line no Scribd. por Eduardo V. C. Neves | Operações Nas próximas semanas o PCI Council irá promover uma revisão no PCI Data Security Standard (PCI DSS), buscando esclarecer pontos que causam confusão na implementação do padrão pelas empresas. É uma iniciativa louvável e que mostra o comprometimento […]

Leia mais

Sobre as limitações do fuzzing black-box em Aplicações Web

Este artigo está também disponível para leitura on-line no Scribd. por Gabriel Quadros | Conviso Security Labs O fuzzing é um dos métodos mais usados para a descoberta de vulnerabilidades em aplicações, tendo como principais características sua eficiência e bom custo-benefício em relação à outros métodos. Apesar disso, os fuzzers geralmente têm dificuldades para encontrar […]

Leia mais

Responsabilidade Compartilhada

Este artigo está também disponível em formato pdf para leitura on-line ou download. Introdução Quando uma empresa tem uma ou mais vulnerabilidades do seu Ambiente Informatizado exploradas por um atacante, as conseqüências podem ir da exposição negativa da imagem perante a sociedade até prejuízos financeiros decorrentes da parada de um processo, como no caso de […]

Leia mais

Exposição de Dados em Segurança nas Nuvens

Este artigo também disponível em versão pdf no Scribd.   Introdução Perguntas sobre segurança na nuvem e viabilidade do armazenamento de informações críticas em serviços baseados na web foram levantadas após um incidente que envolveu o Twitter [1] e o Google Apps [2], onde um cracker obteve e distribuiu mais de 300 documentos confidenciais, relativos […]

Leia mais

Entendendo a técnica de Strokejacking

Este artigo também disponível em versão pdf no Scribd.   Introdução Em março de 2010, o pesquisador Michal Zaleswki publicou uma prova de conceito para uma falha encontrada no WebKit [1], que possibilitava a execução de um ataque que ele chamou de strokejacking. Esta falha permitia a mudança de foco durante o tratamento do evento […]

Leia mais

1 10 11 12
topo