Ontem, no feriado do 7 de setembro, um exploit XSS foi disseminado no Twitter. O ataque, que se aproveitou de uma falha no servidor de desenvolvimento do Twitter, utilizou-se da fama da banda Restart: “Pe Lanza da banda Restart sofre acidente tragico” (sic). O link do exploit, mascarado por um encurtador de URLs (bit.ly), revela… Read More
Lançado Rails 3: confira as novidades de segurança
Após dois anos de desenvolvimento e com a ajuda de 1600 contribuidores, o Rails 3.0 foi lançado. Dentre as novidades estão um novo sistema de proteção padrão para Cross-Site Scripting (XSS) e Cross-site Request Forgery (CSRF). Veja o screencast com Gregg Pollack para mais detalhes. Foto: Rails to the Sun,303.3 degrees to the north, This… Read More
Detectando e explorando ataques XSS injection
O pesquisador de segurança responsável pelo blog punter-infosec.com lançou um tutorial de como usar o XSSer Tool, ferramenta para detectar e explorar vulnerabilidades XSS (cross-site scripting). Veja o guia no blog: Detecting and exploiting XSS injections using XSSer while Penetration testing | Life of a Penetration Tester(Hire a Hacker by the Night and Hire a… Read More
Entenda e evite o funcionamento de exploit CSS XSS para Mozilla Firefox
Em artigo em seu blog, Zachary Weinberg fala sobre o funcionamento de uma vulnerabilidade recém corrigida no parser CSS que permite um ataque XSS (cross-site scripting). De forma semelhante a muitos ataques XSS, o próprio webmaster do site pode tomar providências para evitar que seus visitantes utilizando versões afetadas pela vulnerabilidade sejam afetados, e o… Read More
Lista dos ataques mais populares: XSS e SQL Injection lideram ranking.
A empresa de segurança Cenzic divulgou um relatório estatístico sobre as tendências de segurança em aplicações Web com dados do primeiro semestre de 2010. Segundo o relatório, 66% das vulnerabilidades reportadas afetaram tecnologias ligadas à web, tais como servidores, aplicações e browsers. Os ataques mais populares foram de XSS (Cross Site Scripting), respondendo por 28%,… Read More
Estatísticas de Incidentes e Spam do CERT.br para o segundo trimestre de 2010
O CERT.br divulgou as estatísticas de incidentes e spam referentes ao segundo trimestre de 2010. Passando rapidamente pelas estatísticas, que podem ser vistas em detalhe no relatório do CERT.br: no segundo trimestre de 2010 as notificações de phishing, ataques a servidores web e varredura de portas aumentaram, enquanto as notificações de tentativas de fraude, cavalos… Read More
Infestação maciça de servidores IIS/ASP – robint.us
Desde o último dia 8, uma grande quantidade de servidores rodando IIS/ASP foram infectados num ataque de SQL injection, embutindo um malware apontando para o site robint.us, usando a técnica de XSS (Cross-site scripting). Uma busca no Google hoje (10/06) releva cerca de 12.000 sites infectados. A invasão maciça se deve não só a vulnerabilidades… Read More