Continuarei, hoje, a mostrar o quão simples pode ser criar um módulo para o Browser Exploitation Framework, ou BeEF. Se você pegou o bonde andando e perdeu toda a apresentação e a primeira parte de construção de módulos, corra para lá, pois o conteúdo...
Até a última terça (5 de maio), o Google era vulnerável a Cross-Site Scripting em um dos links de sua página de suporte. O risco apresentado pela falha aumenta inúmeras vezes por um fator: o site vulnerável estava no domínio principal (google.com). Como o google usa este domínio para autenticação de seus usuários em todos os seus serviços\sites, era possível obter informações pessoais, enviar seu cookie para um script na web, roubar sua lista de contatos, ver seus documentos no Google Docs, e até adicionar gadgets em seu Igoogle.
A...
Ok, peço-lhes desculpas pelo sensacionalismo no título, mas ele é justificavel. O assunto é sério.
Ontem, dia 27 de abril, a equipe IBM Rational Application Security Insider, cujo blog já citei aqui, descobriu uma falha que merece nossa análise. Um usuário navegando com Internet Explorer, ao entrar em um site com o código malicioso (exploit), tem seu Chrome aberto interpretando um java-script ou visitando uma url previamente definida.
Tais exploits podem conter instruções em java-script quaisquer. Um dos exemplos de maior risco apresentado...
Nos últimos dias, o site GNUCITIZEN esteve efetuando uma série de testes na Câmera IP da Linksys modelo WVC54GCA. O resultado já rendeu 4 posts repletos de descrições das falhas encontradas, que vão de transmissão da senha de administrador para o programa de instalação em texto puro (sem criptografia),...
Hoje vou comentar de uma vulnerabilidade simples e de impacto baixo. Dificilmente ela trará prejuizos ou causara maiores danos a alguém. Por que algo de tamanha simplicidade está aqui blog, então? Porque a mensagem que a falha passa é muito mais ampla: Não é só dentro dos códigos de sites que acontece o Cross-Site Scripting.
Tudo bem, isso não é lá novidade… mas é importante alertar e ampliar as análises nestes programas.
A falha que lhes trago hoje é a do excelente plugin para firefox Tamper...
Sou Gabriel Lima, estudante de análise e desenvolvimento de sistemas, e entusiasta da segurança da informação desde criança. Criei o Falando de Segurança com a intenção de compartilhar conhecimentos da área, através de video-posts demonstrando o uso de ferramentas, discutindo cenários, notícias, etc.
...Leia mais