Cuidado com as configurações padrão do Apache 2 para PHP
Acabei de ler este alerta no blogue do Ilia Alshanetsky e reparei que, numa instalação on-the-fly da distro Linux Gentoo, estava exactamente com essa má configuração. Go figure…
Tag Archives: php
RIPS – analisa a segurança de código PHP
RIPS é uma ferramenta que analisa código fonte PHP em aplicações web. Foi divulgado durante o mês da segurança PHP. Entre as várias caracteristicas desta aplicação saliento: Detecta XSS, SQL Injection, LFI, FD; Cria com apenas alguns cliques, um exploit PoC em CURL; User-Friendly. Para usufruir do RIPS é apenas necessário um servidor web com [...]
Facebook de novo com problemas de segurança e privacidade
Recentemente li na mailing list do Full Disclosure, que é possível, utilizando um login incorrecto, saber se um email está associado a uma conta de Facebook. Caso esse email exista, a rede social vai retornar o nome e a fotografia associada ao perfil do utilizador. O autor dessa descoberta publicou um script PoC em PHP [...]
PuzlBox – ferramenta de fuzz
PuzlBox é uma ferramenta que analisa vários tipos de vulnerabilidades em aplicações web PHP, desempenhado uma análise dinâmica. Consegue detectar as seguintes situações: – Arbitrary Command Execution – Arbitrary PHP Execution – Local File Inclusion – Aribtray File Read/Write/Change/Rename/Delete – SQL Injection – Reflected Cross-site Scripting Definitivamente, uma ferramenta a ter em conta.
Análise ao ataque PHP que levou à divulgação de informação da Apple
A Acunetix fez a análise ao ataque no website da AT&T que divulgou 100.000 emails de clientes da Apple. A causa apontada, segundo especialistas de segurança que analisaram o caso, passo a citar – a pooerly designed software. Vale a pena dar uma vista de olhos no método simples que foi utilizado no ataque e [...]
Utilizadores WordPress: cuidado onde arranjam os temas
Sucuri publicou um artigo sobre os cuidados que se devem ter ao descarregar um tema para WordPress da web. É necessário precaver e analisar a fonte. O tema para o WordPress não é só um design gráfico, contêm também código PHP e, por vezes inofensivamente, podem estar vulneráveis a ataques web.
Vicnum – mais uma aplicação web vulnerável
Vicnum é um projecto OWASP semelhante ao DVWA e ao Jarlsberg. É uma aplicação web flexível vulnerável a falhas como XSS, SQL Injection e manipulação de sessões. Vicnum foi implementado utilizando LAMP, Perl e PHP, deste modo é possível trabalhar com as duas linguagens. Vicnum é fácil de instalar e usar. Algumas particularidades da aplicação: [...]
Teleminar WordPress Security
Ontem participei no teleminar WordPress Security do WPSecurityLock. Foram 90 minutos de alguma boa discussão, com a presença de um responsável de segurança do GoDaddy e de alguns webmasters que, ultimamente, viram o seu blogue comprometido com malware. Nesta minha participação, para além de algumas questões técnicas, salientei o problema das más configurações de alguns [...]
NetworkSolutions com problemas em contas com WordPress
Acabei de receber a notificação que, novamente, diversos blogues WordPress foram comprometidos em alojamentos partilhados no NetworkSolutions. O método utilizado no ataque afecta o directório cgi-bin e cria/modifica o ficheiro .htaccess para executar novos scripts PHP.
Em caso de malware em website…
… verificar todos os directórios para além do htdocs. Por diversas vezes já fui consultado para remoção de malware em websites e sinceramente nunca me apareceu nada semelhante ao que foi divulgado no blogue Sucuri Security. Após várias tentativas falhadas de remoção de malware num website de um utilizador, o Sucuri Security conseguiu encontrar o [...]
Últimos comentários