Nov
7
Keynote da palestra de XSS apresentado na InterCon2008
Filed Under Diversos, Segurança, Tecnologia, WB4B | Leave a Comment
Foi publicado o keynote utilizado por Ricardo Striquer Soares em sua apresentação para a InterCon 2008 em São Paulo/SP – BRA. O arquivo publicado não ficou na mesma qualidade do apresentado por questões de portabilidade disponbilizamos o arquivo no formato PDF em uma qualidade inferior. Abaixo o link para o arquivo. http://www.slideshare.net/ricardophp/xss-desvendado-presentation/
Oct
27
Perguntas sobre XSS no evento
Filed Under Diversos, Segurança, Tecnologia | Leave a Comment
Apresentei neste último final de semana uma palestra sobre XSS e foi questionado sobre alguns pontos que gostaria de comentar mais aqui neste post. P: Se eu utilizo um CMS popular e quero aplicar e/ou criar um código que evite XSS, aquela função strip_tags parece bem útil porem como fazer caso queira que algumas TAGs […]
Aug
18
Ataque de DDoS no servidor através de falha de XSS
Filed Under Diversos, Segurança, Tecnologia, WB4B | Leave a Comment
(Para saber mais sobre ataque de DoS e DDoS vá para a página https://www.programabrasil.org/?p=55) Este é um método utilizado para impedir o acesso ao servidor ou para diminuir sua audiência. Lembrando que para utilizar-lo você deve inicialmente identificar uma falha de XSS no site da vítima. O método consiste em injetar um código no servidor […]
Aug
14
Roubo de sessão com XSS
Filed Under Diversos, Segurança, Tecnologia, WB4B | 3 Comments
XSS é uma falha de segurança e um método de ataque que seria classificado como baixo, porem ele pode possibilitar um estrago no sistema se o atacante souber explorar a falha. Minhas três “funcionalidades” preferidas do XSS é o roubo de sessão, o ataque de DDoS no servidor e o ataque de DoS no cliente. […]
Aug
5
Variações de XSS
Filed Under Diversos, Segurança, Tecnologia, WB4B | Leave a Comment
Não identifiquei “variações” na utilização do XSS, porem vale observar uma técnica que se destaca ao ponto de ser considerada uma variação por alguns, seriam os CSRF, Cross Site Request Forgering, ou requisição cruzada de site externo, também conhecido como XSRF graças ao X do XSS. O CSRF geralmente é utilizado como um método de […]
Jul
30
A Microsoft publicou no dia 19 e julho seu último relatório “Microsoft Security Intelligence Report”, também conhecido como SIR. O relatório aponta que o Brasil, até mesmo por ser um pais de idioma português, possui baixo nível de infecção de malwares e que o maior problema de segurança existente em sua maior parte envolveria equipamentos […]
Jul
22
Como utilizar o XSS
Filed Under Diversos, Segurança, Tecnologia, WB4B | 1 Comment
Para utilizar esta técnica é muito simples, basta adicionar em campos de formulários comandos de javascript para manipular o conteúdo HTML renderizado no cliente. Ou seja, você pode pegar qualquer formulário que seja utilizado para gerar uma página online e adicionar o código javascript neste, se o conteúdo recebido do formulário não for manipulado nem […]
Jul
8
XSS desvendado!
Filed Under Diversos, Segurança, Tecnologia, WB4B | Leave a Comment
XSS quer dizer Cross Site Scripting, seu nome originalmente era CSS e apesar de ser mais antigo que a tecnologia CSS ele é muito menos popular, por isto quando surgiu a CSS diversos técnicos de segurança começaram a chamar a falha de XSS, graças ao XHTML, linguagem a qual geralmente se encontra a falha. O […]
Mar
20
SMTP injection e ataque de sobrecarga.
Filed Under Diversos, Segurança, Tecnologia | Leave a Comment
Finalmente saíu a última revista “php Magazine” (http://www.phpmagazine.com.br/), a edição 4, nela apresento uma matéria sobre SMTP injection e como se proteger de tais ameaças. Confira!
Jan
30
Resenha: Já foi hackeado, já ouviu falar de ataque de DoS? Não tem nada haver com o conhecido sistema operacional DOS! Vanha saber mais sobre o assunto …. Dissertação: Geralmente quem utiliza um ataque de DoS tem algum motivo pessoal para o ataque, ele quer realmente te sacanear, geralmente é um concorrente seu ou alguém […]