Web kits de malware com falhas web

A BBC publicou uma notícia onde refere que, segundo especialistas de segurança que obtiveram alguns kits de malware, muitos estariam vulneráveis a ataques de SQL Injection, XSS, entre outros.

Pessoalmente, já tive oportunidade de observar na diagonal um dos kits (versão desactualizada do Eleonore) e verifiquei que, numa das secções da aplicação, gravava o HTTP_REFERER do utilizador infectado. Não existia qualquer filtro nesta variável gravada e portanto bastante susceptível a um ataque XSS com um pequeno script de exaustão de memoria ou, quem sabe, apenas uma mensagem sugestiva ao utilizador malicioso.

Estes web kits quando programados, os seus web developers não estão minimamente preocupados com as falhas web da sua aplicação. Quanto mais rápido atingir o objectivo, que pode ir desde obtenção de dados confidenciais ou apenas de armazenamento de informação, melhor.

Podem consultar mais informação no ZDNet.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?