A ShadowSEC vai organizar no próximo dia 22 um evento de segurança informática.
O Security Meeting será um evento inteiramente dedicado a empresas e profissionais da área de Segurança da Informação, bem como do âmbito Jurídico. Esta edição terá como temáticas “Cibersegurança e Direito Informático”, onde traremos discussões sobre as principais tendências, problemas, falhas e soluções em ambas temáticas, bem como atuar na consciencialização (Awareness) dos profissionais.
Os temas em agenda são:
- Legislação do Cibercrime
- Insegurança Informática em Portugal
- Cibersegurança: Preparar o Futuro
- Combate a Crimes Informáticos - Caso prático
- Burla Informática
- Papel da organização no Combate ao Crime Informático
O preço de inscrição começa nos 50,00€ para estudantes, 75,00€ particulares e 100,00€ empresarial.
Mais informação no site oficial do evento - http://www.shadowsec.com/eventos-sm-22-02-2013.html
O WebSegura.net tem 5 bilhetes para oferecer. Para ganhar basta responder a 3 perguntas. As 5 primeiras respostas corretas ganham uma entrada para este evento.
1 - O que entendes por HttpOnly?
2 - Que tipo de vulnerabilidade encontras neste código - javascript:document.write(document.referrer); ?
3 - Destas três opções qual a melhor solução para guardar uma password numa base de dados:
1. BASE64(MD5)
2. SHA1+SALT
3. BASE64(SHA1)
As respostas devem ser enviadas via comentário a este artigo.
Os resultados serão publicados esta 6ª feira à noite.
Vencedores:
- Miguel
- Ricardo
- Tiago
- Hugo
- Fábio
Obrigado a todos.
1 - HttpOnly é uma Flag adicional incluída no cabeçalho HTTP Set-Cookie. Usando o HttpOnly ao gerar um cookie ajuda a mitigar o risco de script do cliente.
2 - JavaScript
3 - SHA1+SALT
1 – HttpOnly é uma Flag adicional incluída no cabeçalho HTTP Set-Cookie. Usando o HttpOnly ao gerar um cookie ajuda a mitigar o risco de script do cliente.
2 – XSS
3 – SHA1+SALT
1ª HttpOnly, é enviado com uma response header para evitar que o cookie seja disclosured a terceiros, I.E. document.cookie.
2ª Dom XSS
3ª SHA1+SALT
Now, i want my ticket :)
httponly - E uma flag metida nas cookies que quanto esta metida faz com que a cookie nao possa ser acedida por um script do lado do cliente. serve para impedir por exemplo no caso de XSS da cookie ser revelada a 3os
document.write = dom based xss
SHA1+SALT
Hi!
1 - Protect local cookie from possible XSS attacks
2 - XSS injection via referrer
3 - SHA1+SALT
Thanks!
1 - HttpOnly é uma flag usada para prevenir o roubo da sessão através de ataques XSS.
2 - XSS. Consegue-se facilmente manipular o conteúdo do document.referer e injectar código malicioso na função document.write
3 - Bem quer dizer, na minha opinião são as 3 bastante comuns e servem bem o propósito no que toca a guardar as hash’s na base de dados. Quanto à segurança das hash’s em si, quer dizer, se algum intruso conseguir ‘root’ar o servidor, consegue obter as hash’s e as salts sem problema.
O base64 só serve mesmo para o despiste porque é facilmente reversivel. Entre md5 e sha1? Provavelmente sha1 por ter 160bits enquanto md5 apenas tem 128 mas…. ambas são bastante vulneráveis a “ataques de colisão” e existem bases de dados com milhões e milhões de hash’s em md5 e sha1. Portanto, a resposta que dou seria sha1+salt
Obrigado a todos por participarem.
Os bilhetes irão seguir para o vosso email.
Cumprimentos