RIPS – analisa a segurança de código PHP

RIPS – analisa a segurança de código PHP

RIPS é uma ferramenta que analisa código fonte PHP em aplicações web. Foi divulgado durante o mês da segurança PHP. Entre as várias caracteristicas desta aplicação saliento: Detecta XSS, SQL Injection, LFI, FD; Cria com apenas alguns cliques, um exploit PoC em CURL; User-Friendly. Para usufruir do RIPS é apenas necessário um servidor web com [...]

ACSS do Ministério da Saúde foi “hackado”

ACSS do Ministério da Saúde foi “hackado”

O website da Administração Central do Sistema de Saúde foi comprometido por um grupo intitulado Ashiyane Digital Security Team. Este website já tinha sido alvo de defacers no ano passado Persian Boys Hacking Team e fica por saber se foi utilizada a mesma falha nos dois ataques (de referir que ambos os grupos involvidos são [...]

Falha no Facebook pode levar a hijack de conta

Falha no Facebook pode levar a hijack de conta

Uma falha XSS no Facebook pode permitir o hijack de uma conta de utilizador. No exemplo divulgado pela Acunetix, utilizando apenas engenharia social e uma falha XSS, foi possível visualizar todas as mensagens privadas gravadas na conta da vítima. A mesma fonte publicou um artigo mais detalhado onde divulga a possibilidade de worms utilizarem esta [...]

100 milhões de páginas de utilizadores do Facebook num torrent

100 milhões de páginas de utilizadores do Facebook num torrent

Ron Bowes, do Skull Security, conseguiu, utilizando um pequeno script em Ruby e uma falha de permissões no Facebook, reunir o nome e o URL de cada utilizador de mais de 100 milhões de contas do Facebook. Esta proeza inclui a possibilidade de poder pesquisar “amigos” dos utilizadores, mesmo estes não estando pesquisáveis. Nos comentários [...]

PuzlBox – ferramenta de fuzz

PuzlBox – ferramenta de fuzz

PuzlBox é uma ferramenta que analisa vários tipos de vulnerabilidades em aplicações web PHP, desempenhado uma análise dinâmica. Consegue detectar as seguintes situações: – Arbitrary Command Execution – Arbitrary PHP Execution – Local File Inclusion – Aribtray File Read/Write/Change/Rename/Delete – SQL Injection – Reflected Cross-site Scripting Definitivamente, uma ferramenta a ter em conta.

Instituto Nacional de Medicina Legal foi “hackado”

Instituto Nacional de Medicina Legal foi “hackado”

O website do Instituto Nacional de Medicina Legal foi recentemente alvo de um deface por parte de um dos maiores grupos de defacers do Brasil – os Fatal Error. A página alterada apenas apresentava em texto: Esta situação já não surpreende ninguém, mas ao contrário de situações anteriores em websites governamentais, este website voltou à [...]

ScanPW analisa páginas web por conteúdos maliciosos

ScanPW analisa páginas web por conteúdos maliciosos

ScanPW é uma aplicação web gratuita que permite, de uma forma rápida e segura, analisar o código fonte de uma página web. O ScanPW actua como um pedido normal de acesso a uma página web, tal como num browser, e de seguida, usando algumas funções REGEX, analisa determinadas secções do código fonte que podem parecer [...]

WebSegura faz 6 meses de existência

WebSegura faz 6 meses de existência

Parece que foi ontem que decidi dar continuidade do projecto Unsecurity.info e criar o blogue WebSegura.net Nestes 6 meses de existência o blogue teve: Mais de 250 artigos publicados; Mais de 32.000 visitas; Mais de 208.000 páginas vistas; Cerca de 100 comentários. Mais importante que qualquer estatística, é o agradecimento a todos que seguem/visitam o [...]

Quer um iPad de borla?

Quer um iPad de borla?

… é mais um SCAM, que anda a propagar-se pelo Facebook, alertado pelo Zscaler. Tammi Tyler, provavelmente, é apenas uma utilizadora com uma conta comprometida que está a enviar SPAM com a referência ao website que oferece o tão aclamado produto da Apple. O URL shortener bit.ly redirecciona para: hxxp://www.theigadget.com/?80af9787 O website adverte que, após [...]

Web kits de malware com falhas web

Web kits de malware com falhas web

A BBC publicou uma notícia onde refere que, segundo especialistas de segurança que obtiveram alguns kits de malware, muitos estariam vulneráveis a ataques de SQL Injection, XSS, entre outros. Pessoalmente, já tive oportunidade de observar na diagonal um dos kits (versão desactualizada do Eleonore) e verifiquei que, numa das secções da aplicação, gravava o HTTP_REFERER [...]

Rss Feed Tweeter button Facebook button Reddit button Digg button Stumbleupon button
Real Time Web Analytics