Todos os posts tagados kits

Web kits de malware com falhas web

A BBC publicou uma notícia onde refere que, segundo especialistas de segurança que obtiveram alguns kits de malware, muitos estariam vulneráveis a ataques de SQL Injection, XSS, entre outros.

Pessoalmente, já tive oportunidade de observar na diagonal um dos kits (versão desactualizada do Eleonore) e verifiquei que, numa das secções da aplicação, gravava o HTTP_REFERER do utilizador infectado. Não existia qualquer filtro nesta variável gravada e portanto bastante susceptível a um ataque XSS com um pequeno script de exaustão de memoria ou, quem sabe, apenas uma mensagem sugestiva ao utilizador malicioso.

Estes web kits quando programados, os seus web developers não estão minimamente preocupados com as falhas web da sua aplicação. Quanto mais rápido atingir o objectivo, que pode ir desde obtenção de dados confidenciais ou apenas de armazenamento de informação, melhor.

Podem consultar mais informação no ZDNet.