Posts Tagged Checklist
Checklist para Análise de aplicação WEB
Publicado por Aldo Silva em Segurança de TI em 14/03/2012
Através de uma análise de vulnerabilidade, que visa identificar as fragilidades da aplicação.pode ser condizidas com uso de ferramentas automatizadas ou analise manual tendo como base a pespectiva que um invasor teria para comprometer uma aplicação. A metodologia OWASP pode ser usada para análise de vulnerabilidade é um dos padrões mais seguros para aplicações web, abaixo um check como exemplo , Existem outras técnicas e metodologia essas são algumas
- Injeção SQL (SQL Injection).
- Execução de Scripts entre sites (XSS).
- Quebra da Autenticação e do Gerenciamento de Sessões.
- Referência Insegura e Direta a Objetos.
- Requisição Forjada entre Sites (CSRF).
- Configurações Inseguras.
- Armazenamento Criptográfico Inseguro.
- Falha na Restrição de Acesso a URLs.
- Proteção Insuficiente na Camada de Transporte.
- Redirecionamentos e Encaminhamentos Perigosos
fonte : http://www.datasecurity.com.br alteração de texto Aldo Silva
leia também : Protegendo seu Servidor de Banco de Dados
Check List Proteção de Rede
Publicado por Aldo Silva em ITIL, Segurança de TI em 21/07/2011
Segue abaixo um check list de proteção de rede, logico que existe várias o proposito e dar importância ao termo check list que pode ser usado em várias atividades e pode ajudar corrigir falhas ou evitar um incidente.
| Considerações dos roteadores | |
|---|---|
| Checar | Descrição |
| Últimas correções e atualizações estão instaladas. | |
| Dicas do serviço de notificação de segurança do fornecedor. | |
| Portas vulneráveis conhecidas estão bloqueadas. | |
| Filtro de entrada e saída está habilitado. Pacotes de entrada e saída estão confirmados como vindos de redes internas e externas. | |
| O tráfego ICMP está protegido da rede interna. | |
| Interfaces administrativas do roteador estão enumeradas e protegidas. | |
| A administração na interface Web está desabilitada. | |
| Tráfegos de difusão direta não estão sendo recebidos ou encaminhados. | |
| Serviços desnecessário estão desativados (como o TFTP, por exemplo). | |
| Usar uma senha complexa. | |
| O Logging está habilitado e auditado para tráfegos ou modelos incomuns. | |
| Pacotes ping grandes estão protegidos. | |
| O pacote Routing Information Protocol (RIP), se usado, está bloqueado para roteador externo. | |
| Considerações do firewall | |
|---|---|
| Checar | Descrição |
| Últimas correções e atualizações estão instaladas. | |
| Filtros ativos estão preparados para impedir tráfego perigoso dentro do perímetro. | |
| Portas novas estão bloqueadas por padrão. | |
| Protocolos novos estão bloqueados por padrão. | |
| IPsec está configurado para comunicações criptografadas dentro do perímetro da rede. | |
| Detecção de intrusos está habilitada no firewall. | |
fonte : http://technet.microsoft.com
Adaptação Aldo Silva
Checklist Registro do Incidente
Publicado por Aldo Silva em ITIL em 03/09/2010
Se você estiver procurando por um conjunto de Checklists de modelos de mapas de processos ITIL v2, aqui você encontrará um conjunto completo de listas de verificação
Listas de verificação para a Central de Serviços e o Gerenciamento de Incidentes
Os seguintes dados são registrados durante o registro de um incidente:
- Unique ID do incidente (geralmente atribuída automaticamente pelo sistema);
- Data e hora da criação (normalmente atribuída automaticamente pelo sistema);
- Analista da Central de Serviços responsável pelo registro inicial do incidente;
- Usuário solicitante e seus dados de usuário;
- Incidente tipo (Interrupção de Serviço, Requisição de Serviço);
- A descrição dos sintomas;
- Serviços de TI afetado(s);
- SLAs;
- Relação com o IC;
Categoria de produtos, geralmente selecionados de uma categoria de árvores de acordo com o seguinte exemplo:
- Client PC
- Configuração Padrão 1
- …
- Impressora
- Fabricante 1
- …
- Incidente categoria, ou seja,
- Erro de hardware
- Erro de software
- …
- Atribuição / Link para um outro incidente (da existência de um incidente semelhante este deverá ser capaz de ser atribuído.)
Parceiros
