Comments for N-Stalker Web Security Community

Comment on N-Stalker is 2009’s winning web application security software, says security-database! by memo

memo — Mon, 18 Jan 2010 23:14:42 +0000

tanks

Comment on N-Stalker is 2009’s winning web application security software, says security-database! by Felipe Salum

Felipe Salum — Wed, 13 Jan 2010 22:16:20 +0000

Congratulations, keep the good work.

Comment on Apagão – Relato sobre possível falha web gerou mídia by Sp0oKeR

Sp0oKeR — Tue, 24 Nov 2009 23:51:32 +0000

Não tem como baseado no “Usuário Invalido” falar se existe algo ou não. Com certeza técnicas de fuzzing numa aplicação que possivelmente foi protegida com blacklist você poderá ou não encontrar algo mas como salientei se você faz os testes, confirma algo será considerado culpado . Infelizmente não temos permissão pra executar testes na ONS.

Comment on Apagão – Relato sobre possível falha web gerou mídia by Maycon Maia Vitali

Maycon Maia Vitali — Thu, 19 Nov 2009 20:19:25 +0000

E se colocássemos ao invés de uma simples aspas simples um valor como ‘ — e em vez do erro resultar na mensagem “Usuário inválido”? Com isto é possível considerar que existe uma falha?

Comment on Apagão – Relato sobre possível falha web gerou mídia by Leo Cavallari

Leo Cavallari — Mon, 16 Nov 2009 13:35:39 +0000

Infelizmente, vivemos em uma sociedade individual muito mais preocupada consigo mesmo do que com o próximo. É até uma questão filosófica do ponto de vista da integridade de pessoas/processo/tecnologia do brasileiro.
Mesmo com esses ” escândalos”, como também aconteceu com o Speedy, o brasileiro prefere pagar pra ver, ou achar que sabe fazer do que investir em soluções adequadas.

Durante meus projetos, já vi “n” casos de empresas detalhando dentro do robots.txt áreas privilegiadas do site e também sistemas, inclusive com endereços internos, mesmo quando essa área do site é não-indexável por qq questão.

Esses fatos mostram que as pessoas acabam utilizando a tecnologia de forma inadequada, por conta de um processo/procedimento mal definido. E onde está o problema??

Falando do apagão: supondo que a distribuição de energia pela Itaipu fosse acionada por um sistema Web, exposto na Internet e esse sistema não tivesse qualquer controle de acesso de origem como podemos observar que é possível acessar, e outros controles de segurança da aplicação (autenticação, autorização, etc) sem o devido nível de segurança, concordo que teríamos um problema!…

Voltando pro mundo real, fica claro perceber a ausência não só de controles, mas principalmente de CULTURA e CONSCIÊNCIA sobre Segurança da Informação. E quanto ao apagão, infelizmente acho que não precisamos muito para deduzir que:
Sim, temos um BIG problema!

Comment on Relato sobre AppSec Brasil 2009 by buanzo

buanzo — Sun, 15 Nov 2009 19:04:49 +0000

the Openpgp extension Matt mentioned is called Enigform http://wiki.buanzo.org

Comment on Null prefix attack – Mais dicas para frustar o uso de SSL by Sp0oKeR

Sp0oKeR — Fri, 14 Aug 2009 13:20:12 +0000

Agatangelo, infelizmente não temos muito o que fazer, dependemos das correções dos browsers . Podemos mitigar nossos problemas não utilizando sites que contenham dados críticos em redes que desconhecemos a segurança. Assim que tivermos informaçôes sobre o andamento das correções dos browsers postaremos.

Comment on Null prefix attack – Mais dicas para frustar o uso de SSL by Agatangelo

Agatangelo — Fri, 14 Aug 2009 11:56:49 +0000

Olá pessoal.

As correções já em andamento aplicadas aos browsers já impedem esse ataque.

Mas o que pode ser feito enquanto isso?

Comment on Null prefix attack – Mais dicas para frustar o uso de SSL by Felipe Salum

Felipe Salum — Sat, 08 Aug 2009 03:19:42 +0000

Belo artigo, aguardo mais posts sobre o assunto.

Comment on Em que websites podemos confiar – “XSSing” o mundo? by Fabio Assolini

Fabio Assolini — Thu, 18 Jun 2009 16:53:41 +0000

Olá!
Essa falha do NYTimes está sendo explorada já a muito tempo por criminosos brasileiros para direcionar para malware banker:
http://www.linhadefensiva.org/2009/01/brecha-no-new-york-times-camuflava-trojans/

Mesmo tendo reportado a eles, não corrigiram e o problema continua.