Todos os posts tagados rfi

Google Code aloja malware

Google Code aloja malware - Foto cortesia da BlueCoat

Recentemente foi noticia na BlueCoat que o Google Code estava alojar malware numa das suas contas. De fato parece lamentável que os atuais proprietários do VirusTotal não utilizem o próprio API de um serviço interno para analisar ficheiros enviados por utilizadores. No exemplo demonstrado pela BlueCoat, ambos os ficheiros apresentavam uma taxa de deteção de 15/46 e 26/46.

Na minha opinião parece-me relativamente fácil bloquear o upload de malware ou outro conteúdo malicioso por parte do Google. Para tal, basta validar o upload do ficheiro no VirusTotal ou noutro sistema de análise de ficheiros. Pelo menos os malware mais comuns ficavam imediatamente barrados. Posteriormente, poderia haver algum tipo de moderação ou análise heurística desses mesmos ficheiros.

O Google Docs (agora Drive) também já teve relacionado com mesmo problema, quando utilizadores maliciosos utilizam o serviço para alojar PHP shells para RFIs (Remote File Inclusion). Algo que foi aparentemente corrigido.

Este tipo de alojamento no Google aumenta a suposta credibilidade do ficheiro e muitos utilizadores poderão ser afetados.

Estejam atentos e verifiquem sempre os ficheiros que descarregam, mesmo quando alojados em serviços do Google.

Nikto versão 2.1.1

Para quem não conhece este famoso scanner, é uma ferramenta open source que efectua testes de segurança em servidores web.
Entre as principais características podemos encontrar mais de 6100 falhas em CGIs ou ficheiros potencialmente perigosos e pesquisa por versões antigas em mais de 950 servidores.

Esta nova versão, para além de corrigir uma lista de bugs, tem novas funcionalidades:

  • Novos método de teste RFI
  • Mais de 2300 novos testes com strings RFI (usando a lista do RSnake)
  • Libwhisker 2.5, que inclui 2 novas técnicas de invasão IDS
  • Capacidade de executar plugins específicos
  • Relatório XML inclui informação SSL

Podem descarregar e obter mais informações do Nikto [aqui].

Lista de strings RFI

RSnake compilou uma lista de strings RFI baseada em sites como o milw0rm e osvdb. Esta base de dados pode ser usada, por exemplo, para serviços de auditoria.

Descarregar a lista completa [aqui].