Todos os posts tagados perl

Vicnum – mais uma aplicação web vulnerável

Vicnum é um projecto OWASP semelhante ao DVWA e ao Jarlsberg.

É uma aplicação web flexível vulnerável a falhas como XSS, SQL Injection e manipulação de sessões.
Vicnum foi implementado utilizando LAMP, Perl e PHP, deste modo é possível trabalhar com as duas linguagens.

Vicnum é fácil de instalar e usar.
Algumas particularidades da aplicação:

  • Pode ser modificado para testar novas vulnerabilidades e novas defesas;
  • Usar para testar uma WAF ou IDS;
  • Testar a fiabilidade de um software de auditoria de segurança.

Porque não tentar?

Em caso de malware em website…

… verificar todos os directórios para além do htdocs.

Por diversas vezes já fui consultado para remoção de malware em websites e sinceramente nunca me apareceu nada semelhante ao que foi divulgado no blogue Sucuri Security.

Após várias tentativas falhadas de remoção de malware num website de um utilizador, o Sucuri Security conseguiu encontrar o código malicioso num ficheiro PERL armazenado no directório cgi-bin.

É um local não muito comum e com uma taxa de detecção reduzida (pelo menos para o utilizador comum) porque o código é colocado num directório fora do htdocs, num ficheiro php.ini que por sua vez recorre ao parâmetro auto_append_file.

auto_append_file = “/home/user/USER/cgi-bin/security.cgi”

Este parâmetro é utilizado para adicionar código no final de todos os ficheiros script PHP.

Neste caso prático, é chamado um código armazenado no ficheiro security.cgi com conteúdo malicioso como pode verificar na imagem abaixo.

Definitivamente uma boa nota/dica de análise para adicionar a uma checklist quando for necessário fazer alguma remoção de malware num website infectado.

* Imagem retirada do blogue da Sucuri