Se você é desenvolvedor web, designer, pesquisador da segurança web, curioso ou fuçador, com certeza acha no plugin FireBug um prato cheio. Ele é, de longe, o melhor plugin para análise de tudo o que está sendo renderizado ou processado por seu navegador.
Sua análise, porém, é vista de forma...
Hoje, volto a tocar no assunto “Fingerprinting”, termo que já citei anteriormente aqui no blog. No caso da Web, trata-se de encontrar arquivos\linhas de código\pontos únicos em um software (como CMS), que possa determinar seu nome e versão. O material que trago explica e demonstra muito bem como usar recursos simples para descobrir tudo isso.
Ocultar...
A falha que havia reportado da STEAM foi corrigida hoje (21) pela equipe da VALVE.
Ontem, (20) havia postado no fórum oficial da STEAM um tópico para discussão da falha. Em menos de 10 minutos de vida, ele foi removido pela equipe de moderação, que me mandaram uma mensagem particular dizendo que já era pra eu ter sido contatado pela VALVE, o que não aconteceu.
Este moderador (que por sinal, é voluntário) encaminhou a VALVE novamente, e fui finalmente contatado pelo excelente John McCaskey, desenvolvedor.
Ele disse que a mensagem não chegou...
Quando o assunto é “espionar” tráfego HTTP, são várias as técnicas que podem ser usadas. Mas, convenhamos… nada melhor do que estar diretamente no alvo: O navegador. Ao invés de analisar tráfego na rede (como fariam os sniffers), esta PoC (prova de conceito) mostra um addon de firefox que tem como finalidade...
Abaixo, irei exibir detalhes da falha que descobri no início deste mês no software Steam, da Valve Corporation. Trata-se de um dos softwares mais utilizados para distribuição de games para PC pela Internet. Recomendo que faça o download do relatório completo, pois o conteúdo deste post...
Olá pessoal.
Primeiramente, desculpem pela falta de posts nos últimos dias. Diversas coisas (Trabalhos, projetos, etc) roubaram meu tempo, e não pude preparar novidades pra cá.
Reservei algum tempo nesta madrugada para dar uma geral. Primeiramente, como vocês podem ver, um novo “theme” está sendo usado, com alguns novos recursos. Agora posso destacar os principais posts alí logo no início do site. Por enquanto, só os 2 vídeos destacados estão lá.
A barra lateral (Sidebar) também foi reorganizada: Há um link para a página de minha apresentação, link...
Ainda em fase de desenvolvimento, a ferramenta Durzosploit traz um framework de desenvolvimento de exploits para Cross-Site Scripting, com o objetivo de oferecer exploits (..na verdade, payloads) para os mais populares sistemas usados em sites (Drupal, etc) ou para sites populares (Facebook, twitter, etc).
Até a última terça (5 de maio), o Google era vulnerável a Cross-Site Scripting em um dos links de sua página de suporte. O risco apresentado pela falha aumenta inúmeras vezes por um fator: o site vulnerável estava no domínio principal (google.com). Como o google usa este domínio para autenticação de seus usuários em todos os seus serviços\sites, era possível obter informações pessoais, enviar seu cookie para um script na web, roubar sua lista de contatos, ver seus documentos no Google Docs, e até adicionar gadgets em seu Igoogle.
A...
Se você entende inglês e gosta de segurança da informação encontrará facilmente na internet bons conteúdos do assunto. Há vários eventos acontecendo pelo mundo onde são apresentadas pesquisas que buscam pontos fortes e fracos em ambientes diversos. Os resultados são, muitas vezes, impressionantes....
O PHP traz consigo algo bem curioso. O motivo da existência deve ser o mesmo dos demais “Easter Eggs” que encontramos em softwares (inclusive das gigantes desenvolvedoras) por aí: uma mera brincadeira. Mas no cenário dos WebApps tudo pode ser visto de forma diferente…
Para muitos, isto aqui não é novidade alguma. Mas posso jurar que eu desconhecia até então.
Apesar de antigo, este “recurso”...
Sou Gabriel Lima, estudante de análise e desenvolvimento de sistemas, e entusiasta da segurança da informação desde criança. Criei o Falando de Segurança com a intenção de compartilhar conhecimentos da área, através de video-posts demonstrando o uso de ferramentas, discutindo cenários, notícias, etc.
...Leia mais