Todos os posts tagados php

Cuidado com as configurações padrão do Apache 2 para PHP

por David Sopas em 2 de Setembro de 2010 em Artigos, Curtas com 0 comentários Tweet

Acabei de ler este alerta no blogue do Ilia Alshanetsky e reparei que, numa instalação on-the-fly da distro Linux Gentoo, estava exactamente com essa má configuração. Go figure

RIPS - analisa a segurança de código PHP

por David Sopas em 16 de Agosto de 2010 em Ferramentas com 0 comentários Tweet

RIPS é uma ferramenta que analisa código fonte PHP em aplicações web.
Foi divulgado durante o mês da segurança PHP.

Entre as várias caracteristicas desta aplicação saliento:

  • Detecta XSS, SQL Injection, LFI, FD;
  • Cria com apenas alguns cliques, um exploit PoC em CURL;
  • User-Friendly.

Para usufruir do RIPS é apenas necessário um servidor web com PHP e um browser.

Facebook de novo com problemas de segurança e privacidade

por David Sopas em 13 de Agosto de 2010 em Curtas, Notícias com 0 comentários Tweet

Recentemente li na mailing list do Full Disclosure, que é possível, utilizando um login incorrecto, saber se um email está associado a uma conta de Facebook. Caso esse email exista, a rede social vai retornar o nome e a fotografia associada ao perfil do utilizador.

O autor dessa descoberta publicou um script PoC em PHP que, com algumas alterações, poderá fazer muitos spammers felizes.

Segundo este artigo, a equipa do Facebook já está a resolver a situação.

Definitivamente, privacidade no Facebook é algo que não existe.

PuzlBox - ferramenta de fuzz

por David Sopas em 27 de Julho de 2010 em Ferramentas com 0 comentários Tweet

PuzlBox é uma ferramenta que analisa vários tipos de vulnerabilidades em aplicações web PHP, desempenhado uma análise dinâmica.

Consegue detectar as seguintes situações:

- Arbitrary Command Execution
- Arbitrary PHP Execution
- Local File Inclusion
- Aribtray File Read/Write/Change/Rename/Delete
- SQL Injection
- Reflected Cross-site Scripting

Definitivamente, uma ferramenta a ter em conta.

Análise ao ataque PHP que levou à divulgação de informação da Apple

por David Sopas em 25 de Junho de 2010 em Artigos, Curtas com 0 comentários Tweet

A Acunetix fez a análise ao ataque no website da AT&T que divulgou 100.000 emails de clientes da Apple.
A causa apontada, segundo especialistas de segurança que analisaram o caso, passo a citar - a pooerly designed software.

Vale a pena dar uma vista de olhos no método simples que foi utilizado no ataque e que levou à obtenção de informação confidencial numa grande empresa - AT&T.

← Mais antigos
Mais recentes →