Todos os posts tagados javascript

Nova ferramenta DoS em JavaScript

flashflood

O VP da White Labs [da WhiteHat Security], Robert ‘RSnake’ Hansen, publicou um protótipo de uma ferramenta que poderá lançar ataques DoS e deixar os websites offlineFlashFlood.

Segundo fonte oficial, esta ferramenta funciona ao enviar enviar diversos pedidos HTTP com valores de parâmetros diferentes em todos os pedidos, com o objetivo de ultrapassar os servidores de caching, como por exemplo, o Varnish.
Claro que esta ferramenta não é propriamente anónima. Facilmente é possível identificar o endereço de IP de quem está a efetuar o flooding. Desta forma, Hansen informa que é necessário enganar outros utilizadores a clicarem no FlashFlood sem terem noção dessa operação. Uma possível combinação do FlashFlood em ataques XSS? Quem sabe…

Por si só, este script não é suficiente para colocar offline a maioria dos sites mas foi planeado para intensificar um ataque que já esteja a decorrer.
Segundo o autor, sites com grandes base de dados e sites Drupal são alvos perfeitos desta ferramenta, principalmente se dependerem de caching para se protegerem.

Imagens pornográficas invadem o Facebook

Nas últimas horas, vários utilizadores têm demonstrado a presença de imagens pornográficas no feed de notícias do Facebook.

Personalidades, imagens chocantes de animais, pornografia, acidentes, entre outros… são alguns dos temas utilizados para propagar os ataque de Likejacking.

O Facebook já respondeu ao Mashable, onde divulga que está a contactar os utilizadores afectados dando algumas dicas de como prevenir estas situações. Também alertam da possibilidade de algumas vítimas terem utilizado um código malicioso em javascript que, após colocado na barra de endereço do browser, é executado no mural de Facebook da vítima. Clickjacking?

Zscaler fez referência a esta notícia com alguns exemplos de códigos javascript maliciosos.

JSON Hijacking

Gareth Heyes, especialista em segurança web, publicou um artigo técnico sobre como a informação JSON pode ser roubada.
Recomendo +1.

O que deve saber sobre o sniffing do histórico do seu browser

Brian Krebs publicou um artigo onde menciona que há websites que estão a utilizar alguns truques em JavaScript para bisbilhotar o histórico dos visitantes.

Aplicações Web lideram vulnerabilidades informáticas

No Tek Sapo:

As vulnerabilidades de aplicações Web continuam a ser a maior ameaça à segurança informática, representando mais de metade de todas as divulgações públicas feitas durante o primeiro semestre de 2010. Os dados constam do mais recente relatório de Tendência e Risco X-Force, da IBM.

A análise nota também que os ataques aumentaram em complexidade e dissimulados dentro do JavaScript e dos Portable Document Formats (PDFs). A X-Force dá conta de que as empresas fazem frente a ataques cada vez mais sofisticados, incluindo Advanced Persistent Threats. Estas ameaças usam meios dissimulados para entrar nas redes sem serem detectados pelas ferramentas tradicionais de segurança.