Todos os posts tagados html

Enviar email HTML e testar os filtros anti-XSS nos sistemas WebMail

Jeremiah Grossman publicou um artigo onde demonstra como é possível enviar um email HTML e testar os filtros anti-XSS em sistemas WebMail.

Recomendo.

HTML5 pode trazer novos vectores de ataque

Segundo Josh Abraham,  investigador da Rapid7, o HTML 5 pode levar a um aumento de ataques SQL Injection.

O Internet Explorer 9 e o Firefox 4 (entre outros) já vão suportar esta nova tecnologia, contudo a próxima versão do HTML, que vai trazer um novo leque de opções para enriquecer as aplicações Web também, segundo a mesma fonte, poderá trazer novos vectores de ataque na Web.

Recomendo a leitura.

Blogue oficial do eRepublik usado como spamdexing

Enquanto conversava com um amigo que me mencionou o jogo eRepublik, que para quem não sabe é:

… um WBMMOG (Web Based Massive Multiplayer Online Game) de estratégia que pretende simular a vida real, ou seja, pretende recriar diversos sectores como a economia, política, meios de comunicação, actividade militar e a sociedade. O jogador é um cidadão que intervém em cada um destes sectores. Este jogo foi desenvolvido por Alexis Bonte e George Lemnaru. O jogo é gratuito, bastando aceder à página principal para se poder registar no jogo.

In “Wikipedia

Reparei que o blogue oficial do jogo (WordPress 2.7 – desactualizado) estava demasiado pesado e lento. Decidi então dar uma olhada no código fonte e reparei na quantidade de links com palavras chaves como “viagra, pharmacy…” no fim do código da página.

Este spamdexing, como é conhecido este método, serve para manipular e indexar certas palavras chave nos motores de busca usando como plataforma websites com maior visibilidade. Na maioria dos casos, este código HTML é apenas visível no código fonte devido há implementação de propriedades CSS, como por exemplo, display:none ou visibility:hidden para ocultar o texto da página web.

Geralmente é resultado de um ataque, bem sucedido, a um servidor ou a uma aplicação web vulnerável, de referir novamente que o WordPress estava desactualizado.

Enviei prontamente um email para o administrador do website que após algumas horas, respondeu agradecendo o alerta e confirmou a eliminação desses links, estando de momento averiguar junto do departamento técnico as causas e a prevenção de futuros problemas.