Todos os posts tagados plugin

Plugin para Firefox, Chrome e Safari previne ‘Likejacking’

A Zscaler disponibilizou gratuitamente um plugin para browsers que previne vários tipos de ameaças utilizando a técnica de Likejacking.
É só clicar aqui.

Análise ao WPScan – WordPress Security Scanner

Esta semana testei a ferramenta WPScan do ethicalhack3r e surpreendeu-me pela positiva.
Programado em Ruby, o WPScan pode ser bastante útil a admins de blogues WordPress ou pentesters que queiram avaliar, de certa forma, a segurança do sistema de blogues mais popular da actualidade.

Esta ferramenta utiliza uma aproximação blackbox, ou seja, analisa sem qualquer conhecimento prévio o que está instalado no blogue WordPress.

Entre as principais características saliento:

  • Enumeração de nomes de utilizador (querystring do autor e do cabeçalho location)
  • Ataques força bruta ao painel de login (multithread)
  • Enumeração de vulnerabilidades (baseada na versão)
  • Enumeração de plugins (os 2220 plugins mais populares)
  • Outras verificações (nome do template, listagem de directórios, etc)

Testei no Mac OS X e no Ubuntu e a única coisa que tive de instalar foram as dependências (typhoeus e xml-simple):

sudo gem install –user-install typhoeus
sudo gem install –user-install xml-simple

Presumo que também deverá correr no sistema operativo Windows, desde que seja preenchido todos os requisitos.

Nos testes que realizei, ficando apenas de parte a força bruta, fiquei satisfeito com o resultado do WPScan que basicamente obtem a maioria das informações via código fonte da página (tal como o ScanPW).

(Teste que demonstra o nome do template utilizada no WordPress)

(Teste que demonstra a versão do WordPress, neste caso desactualizada, e a presença do ficheiro readme.html)

(Teste que demonstra possíveis vulnerabilidades)

Ainda numa versão alpha, é sem dúvida uma ferramenta a seguir e ter em conta.

Download:

svn checkout http://wpscan.googlecode.com/svn/trunk/ wpscan-read-only

WordPress alerta para alguns plugins com ‘backdoor’

No site oficial do WordPress, li que alguns backdoors foram encontrados em plugins bastante utilizados, entre eles:

  • AddThis
  • WPtouch
  • W3 Total Cache

É aconselhável verificar os plugins e verificar se está tudo correcto.

BlackSheep – detecta utilizadores do FireSheep na rede

O BlackSheep é um plugin para o Firefox desenvolvido para combater o FireSheep.

O plugin, que pode descarregar aqui,  envia falsas informações de sessão na rede e monitoriza o tráfego na tentativa de verificar se houve um hijack da sessão.

Fica o alerta que não é possível ter os dois plugins ao mesmo tempo no mesmo perfil do browser do Mozilla.

Adobe alerta para falha de segurança no Shockwave

No TVNET:

A empresa Adobe anunciou que foi descoberto um bug no leitor Shockwave. Uma falha que pode permitir ataques por parte de hackers.

O bug foi descoberto pelo investigador Shahin Ramezany que revelou que tanto pode afectar utilizadores do Windows como de Mac.

No entanto, a Adobe fez questão de realçar que até ao momento não existe qualquer confirmação de um ataque.

Esta foi considerada uma falha “crítica”, que afecta sobretudo as versões 11.5  e anteriores do Shockwave. É um bug que “pode causar bloqueios e que pode também permitir que um hacker controle o sistema afectado”, explicou a Adobe em comunicado.

O Shockwave pode assim tornar-se num alvo, sendo recomendada a sua desactivação até ser feita a uma correcção. No entanto, ainda não há previsão de quando o patch correctivo será disponibilizado.

O Shockwave Player é um plugin multimédia, muito utilizado, por exemplo, para executar jogos.