Download to read offline
Uploaded byAnchises Moraes
Só o Pentest não resolve!
The document discusses various methods for code security and vulnerability testing, including code reviews, penetration testing, and red team tactics. It highlights statistics from bug bounty programs involving vulnerabilities reported in different browsers like Chrome and Firefox. Additionally, it references multiple sources and papers related to security and bug bounty initiatives.
More Related Content
Só o Pentest não resolve!
- 2.
- 3.
- 8.
- 9.
- 11.
- 12.
- 13.
- 14.
- 15.
- 17.
- 18. • • • VRP Vulnerabilidades encontradas pelo melhor pesquisadorinterno Vulnerabilidades encontradas pelo programa de Bug Bounty Chrome 263 371 Firefox 48 148 https://mfinifter.github.io/papers/vrps-usenix2013.pdf
- 20.
- 21.
- 22.
Editor's Notes
- #2 "Pentest Não Resolve!" A quantidade frequente de ataques bem sucedidos, fraudes e vazamentos de dados mostram que as empresas estão falhando em manter a segurança de seus sites, aplicações e bases de dados. Embora o "pentest" seja uma técnica muito comum de testar a segurança de um site, hoje temos a disposição um conjunto de ações que podem ser adotadas de forma complementar para testar e corrigir aplicações desde a sua concepção até a produção. amo conversar um pouco sobre as diferenças e vantagens de adotar práticas de testes de segurança, scan, pentest, vulnerability disclosure e bug bounty. https://www.meetup.com/pt-BR/OWASP-Sao-Paulo-Chapter/events/256628848/
- #3 "Pentest Não Resolve!" A quantidade frequente de ataques bem sucedidos, fraudes e vazamentos de dados mostram que as empresas estão falhando em manter a segurança de seus sites, aplicações e bases de dados. Embora o "pentest" seja uma técnica muito comum de testar a segurança de um site, hoje temos a disposição um conjunto de ações que podem ser adotadas de forma complementar para testar e corrigir aplicações desde a sua concepção até a produção. amo conversar um pouco sobre as diferenças e vantagens de adotar práticas de testes de segurança, scan, pentest, vulnerability disclosure e bug bounty. https://www.meetup.com/pt-BR/OWASP-Sao-Paulo-Chapter/events/256628848/
- #4 https://breachlevelindex.com
- #5 https://g1.globo.com/economia/tecnologia/noticia/2018/11/30/vazamento-de-dados-dos-hoteis-marriott-pode-ter-afetado-500-milhoes-de-clientes-diz-a-rede.ghtml https://www.reddit.com/r/programming/comments/a1gbqw/ebay_japan_source_leak_as_git_folder_deployed_to/?st=JP338IWS&sh=7ed38358
- #7 https://ww2.bugcrowd.com/rs/453-IJC-858/images/why-crowdsourced-security-bugcrowd-032118.pdf
- #17 https://giphy.com/gifs/fire-guns-how-to-MhenSeT9i5Mnm Flexa https://giphy.com/gifs/animated-rambo-gifmania-2c8lcLAcJAPHq
- #18 Fonte: Bugcrowd
- #19 If we consider that an average North American developer on a browser security team (i.e., that of Chrome or Firefox) would cost the vendor around $500 per day (assuming a $100,000 salary with a 50% over- head), we see that the cost of either of these VRPs is comparable to the cost of just one member of the browser security team. On the other hand, the benefit of a VRP far outweighs that of a single security researcher because each of these VRPs finds many more vulnerabilities than any one researcher is likely to be able to find. For bugs affecting stable releases, the Chrome VRP has paid 371 bounties, and the most prolific internal security researcher has found 263 vulnerabilities. For Firefox, these numbers are 148 and 48, respectively. Based on this simple cost/benefit analysis, we hypothesize that: A VRP can be a cost-effective mechanism for finding security vulnerabilities. https://mfinifter.github.io/papers/vrps-usenix2013.pdf
- #21 https://pt-br.facebook.com/whitehat https://pt-br.facebook.com/BugBounty/
- #22 https://www.google.com/about/appsecurity/reward-program/