Ivo Machado

Diretor de Operações da In2Sec (Itelligence to Security), é formado em Análise de Sistemas com MBA em Gestão de Riscos, atuou em diversas empresas nacionais e multinacionais, no Brasil e exterior. Especialista em Gestão de Riscos e Segurança da Informação, é responsável pelas operações das Américas da Certificadora TrustSign e das Consultorias de Segurança e-Horus e A.



Artigos

Cross-Site History Manipulation (XSHM)

Este tipo de ataque explora falhas de segurança na politica SOP (same origin policy). SOP é o conceito de segurança mais importante dos browsers modernos. Esta política diz que, páginas web de diferentes origens, por



HTTP Request Smuggling Attack

O ataque HTTP Request Smuggling explora uma análise incompleta dos dados apresentados feito por um sistema intermediário HTTP trabalhando como um proxy. HTTP Request Smuggling consiste no envio de uma solicitação HTTP especi



Forced Browsing Attacks

Muitas vezes durante a implantação de sistemas, os desenvolvedores acabam utilizando scripts auxiliares para ajudar muitas vezes no debug, ou então gerenciar de forma mais simples algum processo junto a database, ou então si



HTTP Splitting Attack

HTTP response splitting ocorre quando os dados entram na aplicação web através de uma fonte não confiável, frequentemente em um request HTTP, sendo essa manipulada de forma que os dados enviados sejam adicionados em u



Ataques de Path Transversal

O ataque de Path Transversal tem o objetivo de acessar arquivos e diretórios que estão armazenados fora do diretório utilizado pela aplicação (Webroot). Acessando a aplicação pelo browser o atacante pode



Roteiro para a melhoria da segurança dos sistemas

Para facilitar a vida dos desenvolvedores, abaixo seguem 2 regras para trabalhar melhor o aspecto de segurança da aplicação, seguindo como um roteiro para melhorar a segurança dos sistemas. Obviamente cada desenvolvedor deve



Cross-Site Scripting (xss): Riscos e Soluções

Cross-site-scripting attacks, ou Xss como são conhecidos, são um tipo de Injection attacks, onde scripts maliciosos são injetados através de parâmetros confiáveis em um Website. O ataque de XSS ocorre quando um



Vulnerabilidades: como explorá-las?

Filtragem Incorreta de Caracteres de Escape Ocorre quando o dado inputado na variável não é filtrado para remoção de caracteres de escape e então é transformado em uma query SQL. Isto resulta na potencia



SQL Injections

Existentes a mais de uma década, os ataques de SQL Injection vem crescendo drasticamente nos últimos anos, como exemplo, no segundo trimestre de 2008 tivemos aproximadamente 500.000 websites explorados com essa técnica. Ataques de



Como se proteger?

Como se proteger? Todos os dados inputados por usuários não podem ser inputados diretamente em um SQL statement. Ao invés disso devem ser utilizadas queries parametrizadas, ou então os inputs devem ser cuidadosamente filtrad



Segurança em Aplicações

É muito comum encontrarmos artigos técnicos e não técnicos comentando sobre invasões em computadores, redes, certificados digitais SSL e sites seguros, afinal diante da infinidade de facilidades e benefícios qu








ABRAWEB - Associação Brasileira de Profissionais de Internet | Av. Queiroz Filho, 1700 bl C, sl 411 - Vila Hamburguesa - São Paulo - SP CEP 05319-000 | CNPJ 05037868/0001-80 tel. 11 2368-2445