Todos os posts tagados xss

“Omg this is so cool!” - Pinterest Spam

por David Sopas em 12 de Setembro de 2012 em Artigos com 0 comentários Tweet
"Omg this is so cool!" - Pinterest Spam

Foi hoje publicado nos media mas alguns amigos já me tinham informado deste problema. O facto é que criei uma conta para verificar esta situação e com dados de acesso específicos para o efeito. Passado algumas semanas a minha conta de testes no Pinterest começou a enviar Spam indicando um site para completer um questionário (retorno financeiro para o utilizador malicioso). Isto significa que muito provavelmente o problema está no Pinterest.

Algum ataque XSS presente no site poderá estar por detrás desta situação. Ou seja, um visitante visita o Pinterest ou algum Pin, e este automaticamente executa um comando no browser que faz com que a vítima publique um registo sem que tenha o conhecimento.

O facto que após desativar a conta, recebi emails do Pinterest a informar que alguém estava aceder à conta, do Egipto e posteriormente em Omã, que tinha cancelado. Ou seja, os dados de acesso devem ter sido comprometidos e os bots devem estar aceder utilizando diversos proxys.

Muitos são os utilizadores que estão a ser efectados com este problema, principalmente os que têm a conta associada no Twitter e no Facebook, aumentando assim o numero de vítimas deste spam. Testemunho disso é o número de utilizadores que apresentam a mensagem:

Omg this is so cool!

…nas contas Twitter.

Já não é a primeira vez que esta rede social tem problemas com Spam e presumo que ainda tem muito que aprender para combater esta ameaça que afecta milhões de utilizadores todos os dias.

Sugestão:

Até sair uma declaração oficial do Pinterest, não usem. No minimo não associem a conta com as restantes redes sociais.
Passem a palavra aos vossos amigos…

Atualização (13-09-2012):

O IDGNOW! publicou um artigo de como resolver a questão utilizando o serviço disponibilizado para o efeito do Pinterest.

Como funciona os ataques Cross-Site Scripting (XSS) - Vídeo

por David Sopas em 18 de Outubro de 2011 em Artigos, Curtas com 0 comentários Tweet

Fonte: Acunetix

Sony Portugal comprometida

por David Sopas em 9 de Junho de 2011 em Notícias com 0 comentários Tweet

… e a notícia já voa por toda a comunicação social.
Não demorou muito para que o site oficial em Portugal da Sony fosse comprometido.

O mesmo utilizador malicioso Idahc, oriundo do Líbano, que atacou a Sony Europe na semana passada, publicou a base de dados da Sony Portugal.

Desta vez, colocou apenas uma tabela de endereços de email pertencentes à base de dados da Sony Portugal.
O mesmo utilizador afirma ter encontrado três falhas diferentes no SonyMusic.pt, entre estas:

  • Sql Injection (muito provavelmente o método que utilizou para obtenção de informação)
  • XSS
  • iFrame Injection.

Vamos aguardar por um comunicado da Sony e quais as politicas a tomar depois de mais uma invasão.

Resultado do passatempo WebSegura.net

por David Sopas em 31 de Março de 2011 em Desafios com 0 comentários Tweet

Fico satisfeito pela participação que o primeiro (de muitos) passatempo obteve.

O vencedor foi o Miguel Almeida que, em apenas algumas horas, enviou a solução correcta:

  1. Transferir o ficheiro desafio01.zip;
  2. Com a dica que foi sugerida para descobrir a password do ficheiro, assumir que está codificada em Base64 (por causa do terminador ‘=’ ) e descodificá-la;
  3. Com a descodificação Base64 de OGVhYmQ3YzQzMjZjOWU2NDJhNTA1N2RjMWNjNDEzYTY= obtemos 8eabd7c4326c9e642a5057dc1cc413a6;
  4. O valor obtido parece uma hash MD5. Tentar decifrar esse valor com um cracker. Por exemplo, http://passcracking.com;
  5. A password do ficheiro é figueira;
  6. O arquivo contém um ficheiro PHP: desafio01.php;
  7. Analisando o código, parece possível introduzir XSS no campo utilizador;
  8. Na prática, a primeira iteração da página ainda não tem o cookie utl activo (porque a variável utilizador ainda não tem qualquer valor atribuído);
  9. Quando introduzimos um valor nessa variável - utilizador - o cookie utl ganha vida e, em seguida, por causa disso, é impresso no ecrã;
  10. Para explorarmos o XSS, basta introduzirmos no campo utilizador o sequinte: <script>alert(String.fromCharCode(86,101,110,99,105,32,111,32,100,101
    ,115,97,102,105,111,32,48,49,32,100,111,32,87,101,98,83,101,103,117,
    114,97,46));</script>

(Screenshot enviado por Miguel Almeida)

Nuno Mendes e Artur Vidal também completaram com sucesso e, como sou um mãos largas, vão receber um voucher de €15,00 da Amazon.co.uk cada um.

Espero que tenham gostado.

Passatempo WebSegura.net - ganha um voucher da Amazon

por David Sopas em 30 de Março de 2011 em Blogue, Curtas, Desafios com 3 Comentários Tweet

A partir deste momento já está disponível o desafio que proponho a todos os utilizadores do WebSegura.net a ultrapassar.

Para tal, basta ir a página oficial do blogue no Facebook e clicar na tabulação Passatempo.

Para qualquer informação adicional não hesitem em comentar este artigo.

Notas:

  • O voucher é de 30,00€ e de uso exclusivo para a loja Amazon.co.uk;
  • O desafio é moderado e é necessário algum conhecimento em segurança web;
  • Poderei colocar algumas pistas ou dicas aqui nos comentários;
  • Ao colocarem alguma dúvida nos comentários, tenham em atenção os spoilers
← Mais antigos
Mais recentes →