Suas aplicações são seguras?

Conheça a Conviso!

Hacking com controle remoto da sua TV

Sempre que ouvimos algo de Hacking logo olhamos diretamente para segurança de aplicações talvez algo com foco em corrupção de memória, ou então algo relacionado a Web. Bom, na real a palavra Hacking pode relacionar-se a qualquer forma inteligente de se resolver um problema, ou em outras palavras, se relaciona a soluções tanto incomuns, isso nos […]

Leia mais

Exploiting Unsafe Reflection in Ruby/Rails Applications

There is a class of vulnerabilities known as Unsafe Reflection [1] that has not been much discussed in the Ruby/Rails circle, despite being somewhat related to the recent deserialization vulnerabilities found in Rails. Unsafe Reflection vulnerabilities via constant creation occur in Ruby normally when the Module#const_get method is called with user-controlled data. The Rails framework […]

Leia mais

Exploração automatizada com Nmap Scripting Engine (NSE)

Introdução Este artigo visa demonstrar o quão poderosa e flexível é a Engine de script do Nmap. O exemplo utilizado neste artigo é inteiramente didático, apesar de explorar uma falha publicamente conhecida. Nem a Conviso® nem o autor se responsabilizam pelo mau uso do material aqui apresentado. O principal objetivo desta engine é automatizar uma […]

Leia mais

Uma análise do CVE-2012-0217

Introdução Em junho desse ano o time de segurança do sistema operacional FreeBSD publicou um alerta de segurança sobre uma vulnerabilidade descoberta por Rafal Wojtczuk que afeta todas as versões 64 bits. Essa  vulnerabilidade  não  só  afeta  o  sistema  operacional  FreeBSD  mas  também  vários  sistemas operacionais  e sistemas de virtualização[1] disponíveis, com exceção do OpenBSD 5.0 e […]

Leia mais

Construindo um fuzzer com Ruckus e DFuzz

Introdução A comunidade de segurança da informação já está bastante acostumada com a palavra fuzzing. Para aqueles que ainda não conhecem, fuzzing é uma técnica de teste tendo como objetivo a descoberta de vulnerabilidades. Existem diversas ferramentas (fuzzers) disponíveis que implementam esta técnica. Neste post é apresentado alternativas Ruby-like para a realização de fuzzing, são […]

Leia mais

Desenvolvi minha aplicação em Ruby on Rails, estou seguro?

O framework para desenvolvimento de aplicações web Ruby on Rails já vem por padrão com proteções contra alguns tipos de ataques e oferece vários  métodos que auxliam o desenvolvedor a deixar sua aplicação segura.Agora, se você me perguntar “estou seguro?” a princípio minha resposta seria “depende!”. Neste texto vou considerar que o framework Ruby on […]

Leia mais

CVE-2012-5905 De Negação de Serviço à Execução de Código Remoto

Antes de qualquer coisa vale salientar que esse artigo é inteiramente didático e, apesar do aplicativo em questão apresentar vulnerabilidades que possam comprometer a segurança de sistemas, acredita-se que o mesmo não seja utilizado como serviço pelo fato de possuir outras vulnerabilidades públicas não corrigidas e o projeto não possuir continuidade. De qualquer forma o autor ou a Conviso® […]

Leia mais

OpenSAMM o que é e para que serve?

  O SAMM[1] é um framework aberto para ajudar as organizações a formular e implementar uma estratégia para a segurança de software, foi originalmente desenvolvido por Pravir Chandra, um consultor independente de segurança de software. Após o seu lançamento ele foi integrado a OWASP (Open Web Application Security Project) que ficou conhecido como Open SAMM. […]

Leia mais

Um pouco sobre teste de parâmetros em aplicações web

Introdução Neste artigo vamos abordar testes em entradas de dados em uma aplicação web. Durante o artigo teremos uma explanação de como algumas ferramentas funcionam para testar sua aplicação web. Quando falamos de testes em entradas de aplicações Web, muitos pensam em TDD (Test Driven Development), logo alguns iram citar até o Selenium. Embora o Selenium […]

Leia mais

WAF – Criando assinaturas com o ThreadFix

Neste artigo iremos abordar como utilizar a ferramenta ThreadFix [1] para auxiliar no gerenciamento de Web Application Firewalls e demonstrar a criação de regras (assinaturas) a partir de relatórios de scanners automatizados. Para isso, além do ThreadFix v.1.0.1, iremos utilizar também o WAF BIG-IP ASM 11.1.0 [2] da F5 e também o Arachni v0.4.1.2 [3] […]

Leia mais

1 10 11 12 13 14
topo