SegInfo – Portal, Podcast e Evento sobre Segurança da Informação
Notícias, Artigos e Inovação em Tecnologia e Segurança da Informação
Uma recente pesquisa de mercado conduzida pela empresa MarketsandMarkets estima que o mercado global de Segurança em Aplicações deverá crescer US$ 2.24 bilhões em 2016, podendo alcançar até US$ 6,7 bilhões em 2021, o que representaria uma taxa de crescimento anual de 24,8% no período. O estudo atribui o crescimento ao aumento no número de… Read More
Você não precisa ser especialista em Segurança da Informação para entender que violações de segurança, ataques cibernéticos nunca são uma coisa boa. Ainda mais dependendo da gravidade de uma vulnerabilidade. E alguns tipos de ataques são mais comuns que outros. Mas quais seriam os 10 ataques mais frequentes da atualidade?
Uma vulnerabilidade XSS – atualmente sem correção – na API mobile do Facebook está sendo explorada para enviar mensagens para os murais dos usuários, que servem como porta de entrada para o site especialmente criado para explorar a falha. A falha vem sento explorada há um tempo, mas só recentemente foi amplamente utilizada. Usuários da… Read More
Um dos novos recursos do Firefox 4 se chama Content Security Policy (CSP), que é um mecanismo que trabalha nos bastidores para evitar alguns dos ataques web-based mais graves contra usuários e sites. Usuários do Firefox não precisam fazer nada para receber a proteção. Ela é nativa do Firefox 4 e está ativa por padrão,… Read More
DOMXSS Scanner é uma ferramenta online que ajuda a encontrar potenciais vulnerabilidades cross-site scripting (XSS) que utilizam DOM. O DOM based XSS, ou type-0 XSS é uma técnica maliciosa do tipo XSS onde o ataque é resultado de uma modificação do DOM no navegador do usuário, de forma que o código do site roda de… Read More
Muitas vezes, ataques Cross Site Scripting (XSS) são considerados de baixa prioridade por mudarem o texto no cliente, sem trazer muitas implicações de segurança. Entretanto, o pesquisador de segurança MaXe conseguiu encontrar uma forma de realizar um ataque Reverse PHP Shell, que se bem sucedido retorna uma shell conectado remotamente via netcat para um servidor… Read More
Ryan Barnett, pesquisador de segurança na SpiderLabs, compilou um documento explicando o funcionamento de ataques de Cross Site Scripting (XSS) em detalhes, listando ainda métodos para se proteger deste tipo de ataque, dentre elas: Input Validation (Whitelist/Blacklist Filtering) Generic Attack Payload Detection Identifying Improper Output Handling Flaws (Dynamic Taint Propagation) Application Response Profiling (Monitoring the… Read More
O CERT.br liberou as estatísticas de ocorrências de 2010. Elas estão agrupadas em períodos mensais, trimestrais e anual. Vamos dar uma olhada rápida nas estatísticas relacionadas ao número de notificações relacionadas à segurança: páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) tiveram aumento de 94% em 2010, comparado ao ano anterior; cavalos… Read More
Continuando a série de palestras da conferência OWASP AppSec USA 2010 (aqui e aqui), trazemos hoje a palestra Assessing, Testing & Validating Flash Content de Peleus Uhley, especialista de segurança da Adobe. No vídeo ele discorre sobre cross-site scripting (XSS), exame de código, políticas de cross-domain e como proteger melhor o servidor. Peleus Uhley, Assessing,… Read More
Neste final de semana, o Orkut sofreu mais um ataque XSS (Cross-site scripting). A falha levava as pessoas para uma comunidade chamada “Infectados pelo Vírus do Orkut” e exibia mensagens como “Pegadinha do Malandro”. Através de uma vulnerabilidade na página de mensagens (scraps), ao visitar a página de recados de um usuário infectado o seu… Read More