Ataques de aplicações contra o Apple iOS

“A Nova Era dos Ataques de Aplicações contra o Apple iOS” (BlackHat_EU_2011_Dhanjani_Attacks_Against_Apples_iOS) reúne pesquisas recentes para ilustrar os novos vetores de ataque com aplicações iOS. O público-alvo para o artigo inclui analistas de segurança e desenvolvedores de aplicativos para o iOS. Os seguintes tópicos são discutidos em detalhe: Ataques de manipulação de protocolo e design… Read More

Podcast do CERT sobre segurança para líderes empresariais

“Segurança da informação é uma exigência inegociável para as organizações que fazem negócios hoje. No entanto, a construção de uma cultura de segurança em empresas já existentes é uma tarefa complexa. Esta série de podcasts fornece princípios gerais e pontos de partida específicos para os líderes empresariais que querem lançar um esforço de segurança em… Read More

iExploder: software para garantia de qualidade de navegadores web

Se você gosta de utilizar fuzzing para encontrar vulnerabilidades, é provável que você vá gostar do iExploder. Ele é inspirado no Mangleme – outra ferramenta similar para encontrar problemas de segurança e confiabilidade em navegadores web. Ele alimenta o navegador utilizado com códigos HTML e CSS ruins, de modo a testar a sua estabilidade e… Read More

OWASP Top 10: listando as ameaças e as ferramentas de detecção e correção

O analista de segurança Russ McRee publicou no Infosec Resources um artigo interessantíssimo que lista as 10 ameaças mais críticas das aplicações web (seguindo o Top 10 da OWASP) e correlaciona com as ferramentas para descobrir e corrigir essas vulnerabilidades, com tutoriais para cada um deles. O PenTestIT também gostou do artigo, que é apresentado… Read More

Twitter habilita o Content Security Policy (CSP) em seu site mobile

O Twitter, após algumas semanas de teste, implementou o Content Security Policy (CSP) – um novo padrão desenvolvido pela Mozilla para bloquear cross site scripting (XSS), que abordamos recentemente no SegInfo – em seu site mobile. O funcionamento do CSP é bastante simples: “Em um ataque XSS típico, o atacante injeta código javascript arbitrário em… Read More

Kernel Linux com diversas vulnerabilidades no protocolo ROSE

Foram encontradas uma série de vulnerabilidades no kernel Linux que podem ser exploradas localmente por usuários maliciosos para causar uma negação de serviço (DoS) e, potencialmente, escalar privilégios no sistema, como reportado no Secunia. As vulnerabilidades são causadas por erros na implementação do protocolo ROSE e podem ser exploradas, por exemplo, para causar corrupção de… Read More

A maioria dos usuários não se preocupa com segurança em smartphones, diz pesquisa

Os usuários são indiferentes aos muitos sérios riscos de segurança associados ao armazenamento e transmissão de dados sensíveis no iPhone, Blackberry e Android, de acordo com a pesquisa do Ponemon Institute. Seguem três dos resultados mais preocupantes da pesquisa: 89% dos entrevistados não sabiam que as aplicações do smartphone podem transmitir informações confidenciais de pagamento,… Read More