Posts Tagged ‘XSS’

Vulnerabilidades XSS: A Saga Continua…

terça-feira, 22 abril 2008

Ainda bestificado com as Lojas Ame… sofrendo de cross site scripting e principalmente de ver uma das minhas caixas postais com o “famoso” e-mail citado no FISL 9 (ainda bem que eu assisti a palestra antes, pois talvez eu fosse um atingido agora – quero dizer, isso se o programa que o e-mail tentou instalar em minha máquina rodasse no Linux, né), decidi procurar um pouco mais sobre o assunto.

Não foi muito difícil encontrar uma site que lista páginas com falha de XSS. E as Lojas Ame. está listada lá desde fevereiro de 2007. Junto com ela, tem mais algumas lojas famosas, como Sub., Sarai… Muitas. Até meu banco está listado. E tem mais alguns outros bancos também.

Mas não são todos. Tem muitos sites famosos que parecem não ter este tipo de vunerabilidade (ou pelo menos não estão listados).

Eu creio que ninguém é perfeito, todos podemos cometer erros, agora não corrigir uma falha e fazer pouco caso disso, só porque é algo client-site é muita falta de consideração destas grandes empresas.

No fim, eu creio (pelo menos no caso das grandes lojas), que a falha está tão difundida devido a todas elas usarem um mesmo sistema (até pq todas elas tem a mesma cara, já notaram isso?), que provavelmente deve ser tercerizado por uma empresa que não se preocupa muito com segurança.

Eu já estou avisando todas as pessoas conhecidas para nunca mais confiar em e-mails destas lojas. Nunca mais eu clico em link do tipo “oferta só via este e-mail”. Agora eu só compro direto pelo site. Até vou ver as ofertas via e-mail, mas não clico mais em comprar. Na verdade, estou pensando até em radicalizar e abolir o e-mail da minha vida! Será que resolve? 😛

Bah, fico pensando nas pessoas que eu dizia “pode comprar pela Internet, não é tão inseguro assim como dizem, se for de lojas de renome”. Acho que vou dizer para elas agora: “lembra quando eu disse que não era tão inseguro? Pois é… É pior do que dizem”!

Estava pensando em algo para solucionar isso, haja visto que estas empresas nem se preocupam com nós usuários. Bem que podiam inventar uma extensão para o Firefox que alerte o usuário quando ele entrar em um site que sofre de vulnerabilidades tão banais assim. Quem sabe esta “gente” criasse vergonha na cara com isso.

Tags:, ,
Publicado em Software Livre | Leave a Comment »

FISL: Primeiras palestras do último dia

sábado, 19 abril 2008

As duas primeiras palestras do dia 19/04 foram sobre vulnerabilidades de aplicações na web.

A primeira foi apresentada pelo grupo OWASP-BR, uma entidade que se preocupa em melhorar a segurança de aplicativos web. Em seguida, assisti uma palestra de Er Galvão Abbott sobre métodos para evitar cross-site-scripting.

O grupo OWASP-BR apresentou as 10 vulnerabilidades mais críticas encontradas em aplicações WEB, sendo que as mais críticas, em ordem, são:

  • Cross Site Scripting (XSS), que consiste em rodar código script malicioso no navegador web do cliente;
  • SQL Injection, que em geral se inicia forçando um erro na página, para que o cracker consiga determinar mais informações sobre o SGDB. Depois o cracker injeta código SQL, a fim de ter acesso não autorizado de informações;
  • Execução maliciosa de arquivos, que ocorre em sistema que aceitam arquivos de usuários remotos. Em geral, o cracker com acesso ao sistema envia uma página ou arquivo preparado, que depois é executado dentro do sistema web, podendo causar sérios danos ao sistema;
  • Referência insegura direta a objetos, onde o desenvolvedor expõe de forma direta informações internas que não deveriam aparecer, como por exemplo, diretórios, nome de arquivos, ID de usuários, etc, por meio de URL ou parâmetros de formulário.

Estas vunerabilidades correspondem a cerca de 70%. Este documento informa as outras vunerabilidades e dá mais detalhes sobre o assunto.

Sobre a palestra do Er. Galvão Abbott, uma curiosidade é que ele havia recebido um link de uma grande empresa com ataque XSS no e-mail. Ele, que é um usuário experiente, quase foi enganado pelo ataque, dada a sofisticação do mesmo. No slide, ele mostra o código mas protege e não divulga qual seria esta empresa. Perguntei para o “santo Google” e ele me respondeu: Lojas Ame…!!! Cheat!!!

Pior, a vunerabilidade não foi resolvida até agora! Isso é muito triste. Pelo que eu percebo, não dá mais para confiar nem quando o site tem SSL, está com o link correto, etc. Eu creio que ninguém está livre de falhas, mas não resolve-las é extremamente grave.

Fica uma das mensagem dele na palestra: Não se deve dar crédito excessivo à uma aplicação, e relaxar em cuidados com segurança, porque ela foi desenvolvida em linguagem x, foi desenvolvida pela empresa y, pertence a empresa z, ou está utilizando o sistema operacional xyz… E sempre procurar aplicar segurança concentrando no que deve ser permitido e não no que deve ser proibido, pois por melhor que seja o desenvolvedor, jamais ele irá prever todas as possibilidades de falha de segurança.

Ah, fazia algum tempo que eu não comprava mais nas Lojas Ame…, creio que vou continuar não comprando, hehehehe (ainda bem que recebi o brinde que o Terra me prometeu, quando eles mandaram um e-mail em massa solicitando atualização de dados, porque senão eu estaria seriamente preocupado agora, hehehe – bom, um cracker não mandaria um brinde real, né? vixe…)

Seguindo conselhos resolvi remover o nome da empresa, mas não fica difícil adivinhar quem é.

Tags:, , , , , , ,
Publicado em Software Livre | Leave a Comment »