Hoje vou comentar de uma vulnerabilidade simples e de impacto baixo. Dificilmente ela trará prejuizos ou causara maiores danos a alguém. Por que algo de tamanha simplicidade está aqui blog, então? Porque a mensagem que a falha passa é muito mais ampla: Não é só dentro dos códigos de sites que acontece o Cross-Site Scripting.
Tudo bem, isso não é lá novidade… mas é importante alertar e ampliar as análises nestes programas.
A falha que lhes trago hoje é a do excelente plugin para firefox Tamper Data (que, por sinal, é um de meus favoritos!) . Esta ferramenta, que é uma mão na roda para quem é da área, o permite editar parametros POST\GET de solicitações feitas por seu navegador.
Porém, os recursos do plugin não param por ai. Ele exibe, também, uma página de detalhes de todas as URLs que passaram por ele, com seus respectivos tempos de carregamento, retorno do servidor, etc. Esta página é formatada em HTML (vide screenshot abaixo).
Mas tudo bem. Por não estar rodando sob domínio qualquer, não é possivel usar esta falha para obter dados, como por exemplo, cookies. No máximo, um usuário malicioso poderia alterar os resultados do relatório ou tentar obter o conteúdo contido nele. Nada de muito grave, não é mesmo? O importante aqui é saber que as preocupações em filtrar caracteres não devem se limitar as páginas, mas sim a tudo que vá renderizar html e javascript.
A falha, o relato da falha e as screenshots são do excelente blog “IBM Rational Application Security Insider”.
O autor do plugin, Adam Judson, foi contatado e rapidamente solucionou a falha. A versão 10.0.4 foi publicada com o patch.
Sou Gabriel Lima, estudante de análise e desenvolvimento de sistemas, e entusiasta da segurança da informação desde criança. Criei o Falando de Segurança com a intenção de compartilhar conhecimentos da área, através de video-posts demonstrando o uso de ferramentas, discutindo cenários, notícias, etc.
...Leia mais