Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

Webmasters têm hoje uma tarefa dupla: proteger seus próprios sites e também proteger os dados recebidos dos usuários. Ao longo dos anos as companhias e os webmasters aprenderam – às vezes pelo pior caminho – que a segurança na web não é piada; nós vemos senhas dos usuários serem vazadas por ataques SQL injection, cookies roubados com XSS, e sites tomados por usuários maliciosos devido a negligências na validação de entradas.

Baseado nisso, o Blog de Segurança Online da Google publicou um post mostrando exemplos de como uma aplicação web pode ser exploitada. Para isso usaram o Gruyere, uma aplicação intencionalmente vulnerável que a Google usa para treinamento interno de segurança. Os testes rodados no Gruyere seguem os seguintes problemas ou questões:

• Manipulação pelo lado do cliente – O que acontece se eu alterar a URL?
• Cross-site scripting (XSS) – Entradas dos usuários não pode ser confiadas cegamente!
• Cross-site request forgery (XSRF) – Devo aceitar requisições de evil.com?
• Cross-site script inclusion (XSSI) – “All your script are belong to us”.
• SQL Injection – Ainda acha que entrada do usuário é segura?

Para detalhes sobre cada uma dessas questões, confira o post original, em inglês, aqui.

« Voltar para as notícias do dia

Veja também:
Bug passível de infecção por Worm nos Macs - via Skype
Alerta do ISC sobre vulnerabilidade no DNS BIND