Comments for Falando de Segurança

Comment on Meus (video)comentários sobre a BlackHat DC 2010 by Gabriel Coutinho de Lima

Gabriel Coutinho de Lima — Wed, 24 Feb 2010 06:31:19 +0000

Guilherme,
Hahaha, eu não teria dúvidas de que vc não liga pra programação em teus flashs. ;P Valeu a visita, panssa!

Comment on Meus (video)comentários sobre a BlackHat DC 2010 by Guilherme Cruz Gênova

Guilherme Cruz Gênova — Tue, 23 Feb 2010 18:20:15 +0000

Eu sou designer e não to nem ae mesmo pra programação valeu! ehaueauhe

Muito bom o resumo das palestras duck quem sabe um dia nós não vamos together hehehe

Parabéns mulek merece!

Comment on Site de teste da Ajato (TVA) revela informações do usuário by Adilson

Adilson — Tue, 23 Feb 2010 12:09:26 +0000

Bom dia Gabriel,

Agora entendi, não havia pensado nos links maliciosos.

Parabéns pelo site e sempre estarei vendo aqui para ver sobre novidades de segurança.

Grato

Comment on Site de teste da Ajato (TVA) revela informações do usuário by Gabriel Coutinho de Lima

Gabriel Coutinho de Lima — Tue, 23 Feb 2010 00:49:33 +0000

Adilson,
É como comentei acima. Trata-se de um XSS refletido, por tanto, precisa de um fator que ative-o, seja passando um link alterado à vitima, ou mantendo o código que ativa o link com o exploit em algum website que a vitima deve acessar.
XSS que são mantidos em sites são os permanentes\armazenados. Esses sim, bastaria o usuário normalmente acessar a página em que o código foi “injetado”, mas não é o caso.

Comment on Site de teste da Ajato (TVA) revela informações do usuário by Adilson

Adilson — Mon, 22 Feb 2010 16:07:20 +0000

Boa Tarde Gabriel,

Acho que não estou entendo bem XSS, teria algum link para me recomendar?

Pois estou com dificuldade em entender como um iframe embutido no site te traria informações de outras pessoas. Já que se você desse um “Atualizar” na página, seu iframe ja não estaria mais la. A não ser que tenha algum cache por parte do servidor, ou algo assim.

Grato

Comment on Site de teste da Ajato (TVA) revela informações do usuário by Phil

Phil — Fri, 19 Feb 2010 21:08:51 +0000

Olá, passei por acaso nesse post logo depois de fazer o test de velocidade! Fiquei preocupado lógico, e me perguntando se vocês costumam informar os fornecedores de acessos desse tipo de falhas ou deixam a iniciativa para os leitores e clientes revoltados desses FA.

Comment on Site de teste da Ajato (TVA) revela informações do usuário by Gabriel Coutinho de Lima

Gabriel Coutinho de Lima — Fri, 19 Feb 2010 19:57:08 +0000

Adilson,
Por ser um xss refletido, seria necessário ter um código como um iframe em uma página, e a vítima deveria acessar esta página. O exemplo está no link da PoC: http://www.falandodeseguranca.com/exemplo/ajato.html . Com o código que esta nesse html, já seria possível um script php oculto gravar todas as informações da ajato DA VÍTIMA QUE ENTROU NO LINK. Onde for possível adicionar html (para o iframe), seria possível obter esses dados dos usuarios, de forma oculta.
Lembre-se, não é um SQL Injection ou qualquer outra técnica que esteja expondo informações do banco de dados de clientes, mas sim um XSS refletido, que, com o código do exploit, nos dá as informações especificas da vitima que acessou.

Comment on Site de teste da Ajato (TVA) revela informações do usuário by Adilson

Adilson — Fri, 19 Feb 2010 17:15:26 +0000

Boa Tarde amigo,

Curti muito o seu tutorial, só fiquei com a seguinte dúvida:

“Se os dados passados pela URL não estão sendo gravados, como esse XSS pegaria os dados de outra pessoa, a não ser os dela mesma”?

Grato

Comment on Meus (video)comentários sobre a BlackHat DC 2010 by GuzAts

GuzAts — Mon, 08 Feb 2010 22:37:00 +0000

RT @gabrielpato: Finalmente, postei o vídeo com meus comentarios sobre a Blackhat DC 2010. Confira: http://www.falandodeseguranca.com/2010/0...

Comment on Blackhat-DC 2010: Horários e etc. by Alisovsky

Alisovsky — Sun, 31 Jan 2010 22:45:23 +0000

RT @gabrielpato: [Blog Post] Blackhat-DC 2010: Horários e etc. http://www.falandodeseguranca.com/2010/0...