SWFIntruder: Suas aplicações Flash estão seguras? July 20, 2008
Posted by y2h4ck in Uncategorized.Tags: flash analysis, flash hacking, Hacking, Pentesting
add a comment
Hoje Flash é de fato é um dos padrões mais usados para desenvolvimento de aplicações web interativas de ricas. O Flash player é sempre encontrado em qualquer computador como parte integrante da instalação de sistemas como Windows XP. Isto faz com que aplicações em Flash sejam o alvo perfeito para ataques Client-Side.
Mas o que exatamente torna o Flash uma potencial ameaça? Suas features. Aplicações Flash podem executar JavaScript quando embutidos em uma página HTML; Forjar requisições à binários e requisições HTTP; Executar animações em Flash externas e muito mais. Não podemos esquecer multiplas vulnerabilidades recentemente descobertas.
SWFIntruder é um utilitário gratuito desenvolvido para analisar e testar a insegurança de aplicações Flash durante sua execução. Ele procura por potenciais falhas de segurança como por exemplo Cross Site Scripting e Cross Site Flasing em aplicações usando diversas metodologias.
SWFIntruder foi desenvolvido usando uma mistura de ActionScript e JavaScript resultando em uma ferramenta com a vantagem de usar as melhores opções de cada uma das tecnologias a fim de obter a melhor capacidade de analise e interação enquanto testa aplicações Flash.
Se você gosta de Flash e está preocupado com sua segurança, de uma olhada neste pequeno guia:Flash privacy and security settings.
Good Hacking 4 All
FireKeeper: Firefox acts like an IDS June 30, 2008
Posted by y2h4ck in Uncategorized.Tags: browser attacks, Ethical Hacking, firefox addons, firefox hacking, firefox ids, firefox plugin, firefox security, firekeeper, Pentest, y2h4ck
add a comment
FireKeeper é um Intrusion Detection and Prevention System para Firefox. Ele consegue detector, bloquear e avisar o usuário sobre sites maliciosos. Firekeeper utiliza regras flexíveis muito similares as do Snort para descrever tentativas de ataques à Browsers.
As regras podem facilmente serem modificadas para filtrar diferentes tipos de conteúdo não desejado.
É uma extenssão muito boa e durante alguns testes foi muito eficiente contra ataques de Stored XSS attacks, Reflective XSS attacks e contra JavaScripts que tentavam acessar conteúdos privados no sistema.
Entre algumas das principais features do Firekeeper podemos citar:
- Consegue varrer tráfego que chega ao Firefox – HTTP(s) responde headers, body e URL e assim cancelar o processamento de responses suspeitos.
- HTTPS responses são varridas após a descompressão/decrypt.
- O algoritmo de detecção é muito rápido (tirado diretamente do snort).
- Alertas interativos permitem que diferentes respostas sejam tomadas para diferentes tipos de tentativas de ataque.
- Pode utilizar arquivos contendo regras e também automaticamente carregar arquivos em hosts remotos.
Realmente vale a pena para administradores que tentam melhorar a segurança dos usuários utilizando firefox criando um repositório de regras atualizadas na rede e configurando os browsers para atualizarem automaticamente estas regras.
Abaixo seguem alguns links que devem ser visitados para maiores informações sobre o Firekeeper:
http://blues.ath.cx/firekeeper/
FireKeeper Project Weblog
Site do Projeto onde pode ser baixado e instalado o Firekeeper
Good Hacking 4 All.
Happy Easter Buddies! March 22, 2008
Posted by y2h4ck in Uncategorized.Tags: Hacker Easter !
add a comment
RootSecurity Wish a Happy Easter to everybody who visits this blog.
