Todos os posts tagados flashflood

Dailymail vulnerável a ataques XSS

dailymail00

Um utilizador intitulado de SecBit publicou no arquivo de ataques XSSxssposed.org – 9 ataques XSS ao site dailymail.co.uk. A grande maioria ainda não está corrigida e poderá ser um risco de segurança para este jornal britânico.
Para quem não sabe o que é XSS [Cross-Site Scripting], consiste numa vulnerabilidade causada pela falta de validação em parâmetros de entrada do utilizador e a resposta do servidor numa aplicação web. Esta tipo de vulnerabilidade permite que seja inserido duma forma arbitrária, código HTML no browser de um utilizador.

As vulnerabilidades XSS estão localizadas alegadamente em duas aplicações web. O NewsDebate e o Chat do DailyMail. Uma má filtragem em parâmetros destas aplicações tornam o site dailymail.co.uk um alvo para utilizadores maliciosos.

dailymail01

Estes ataques XSS no Dailymail podem conduzir a ataques phishing, propagação de malware, ataques DoS, entre outros.
Relembro que ataques XSS, principalmente em sites populares, podem simplesmente serem conduzidos a ataques de negação de serviço utilizando a ferramenta disponibilizada por Robert ‘RSnake’ Hansen, FlashFlood.

É importante referir que as empresas e respetivas equipas de desenvolvimento devem preocupar-se com este tipo de falha.

Embora desconhecendo se o Dailymail foi contatado sobre estas falhas, e dado que ainda estão vulneráveis, tomei a liberdade de enviar uma notificação por email para resolução desta situação. Entretanto ainda não recebi resposta.

Referências:
https://www.xssposed.org/incidents/53092/
https://www.xssposed.org/incidents/53093/
https://www.xssposed.org/incidents/53094/
https://www.xssposed.org/incidents/53095/
https://www.xssposed.org/incidents/53096/
https://www.xssposed.org/incidents/53097/
https://www.xssposed.org/incidents/53098/
https://www.xssposed.org/incidents/53099/
https://www.xssposed.org/incidents/53100/

Nova ferramenta DoS em JavaScript

flashflood

O VP da White Labs [da WhiteHat Security], Robert ‘RSnake’ Hansen, publicou um protótipo de uma ferramenta que poderá lançar ataques DoS e deixar os websites offlineFlashFlood.

Segundo fonte oficial, esta ferramenta funciona ao enviar enviar diversos pedidos HTTP com valores de parâmetros diferentes em todos os pedidos, com o objetivo de ultrapassar os servidores de caching, como por exemplo, o Varnish.
Claro que esta ferramenta não é propriamente anónima. Facilmente é possível identificar o endereço de IP de quem está a efetuar o flooding. Desta forma, Hansen informa que é necessário enganar outros utilizadores a clicarem no FlashFlood sem terem noção dessa operação. Uma possível combinação do FlashFlood em ataques XSS? Quem sabe…

Por si só, este script não é suficiente para colocar offline a maioria dos sites mas foi planeado para intensificar um ataque que já esteja a decorrer.
Segundo o autor, sites com grandes base de dados e sites Drupal são alvos perfeitos desta ferramenta, principalmente se dependerem de caching para se protegerem.