Pesquisador recebe R$10.000,00 por descoberta de XSS no site da Mozilla

Publicado em 13 de janeiro de 2016 por rbatori

firefox-add-ons

Mozilla pagou R$ 10.000,00 a um pesquisador por descobrir uma vulnerabilidade de cross-site scripting (XSS) armazenado que afeta o website de add-ons da empresa.

Ashar Javed, um profissional que faz teste de intrusão na Hyundai AutoEver Europa, identificou um total de três vulnerabilidades XSS nos sites da Mozilla.

O mais grave dos problemas é a vulnerabilidade XSS armazenado encontrada no site de add-ons site da Mozilla, mais precisamente no recurso de coleções, que é projetado para permitir que os usuários criem grupos de compartilhamento de add-ons semelhantes.

Quando os usuários criam uma coleção, eles têm de incluir um nome, uma descrição e especificar o add-ons que fará parte da coleção. O especialista descobriu que o campo “nome” permitia um XSS armazenado que poderia explorar a execução arbitrária de código JavaScript. A falha existiu porque o site da Mozilla não filtrava adequadamente o caractere “<“, permitindo que atacantes construissem o código: </ title> <svg / onload = confirm (document.domain) //.

De acordo com Javed, um invasor poderia ter explorado a vulnerabilidade para hospedar malware ou para outros fins mal-intencionados simplesmente enganando a vítima a acessar a URL de uma coleção maliciosa.

“Dado que a Mozilla add-on site tem milhões de downloads, é facilmente possível para o atacante convencer a vítima a visitar a página de coleção”, disse o especialista.

Uma maneira de fazer com que os usuários acionem o código malicioso seria postar comentários nas páginas de add-ons populares com links para coleções do atacante, disse Javed.

O pesquisador reportou a vulnerabilidade à Mozilla em 26 de dezembro e uma correção foi implementada no dia 7 de janeiro. A organização premiou o pesquisador com R$ 10.000,00 pela falha, que ele afirma ter encontrado dentro de minutos.

As outras duas falhas XSS encontrados por Javed em sites da Mozilla, foram classificadas como de baixo risco e ainda não foram corrigidos. A Mozilla está atualmente trabalhando para corrigí-las.

Esta não foi a primeira vez Javed recebeu uma recompensa significativa para uma vulnerabilidade de XSS. Em outubro, o especialista disse que o Google lhe concedeu R$ 12.000,00 por um XSS refletido na principal barra de pesquisa do site do YouTube Gaming.

Publicado em Segurança em Aplicações | Comments Off on Pesquisador recebe R$10.000,00 por descoberta de XSS no site da Mozilla

Site da prefeitura de São Paulo desfigurada (defaced) !

Publicado em 30 de dezembro de 2015 por rbatori

prefeitura-sp-defaced

Hoje a tarde, dia 30 de dezembro de 2015, o site da Prefeitura do Munícipo de São Paulo estava exibindo a página acima.

Ainda não se sabe ao certo o que acontenceu. Existe a possibilidade de ter ocorrido um ataque de DNS para redirecionar o endereço do site para um servidor com a página falsa.

Se você acessar o endereço http://www.prefeitura.sp.gov.br com o IP 177.185.194.106, a página falsa é exibida. Esse teste pode ser feito da seguinte forma: (http://www.tecmundo.com.br/sistema-operacional/5214-como-editar-os-arquivos-hosts-do-computador-.htm)

No Windows: Incluir uma linha contendo “177.185.194.106 www.prefeitura.sp.gov.br” no arquivo c:\windows\system32\drivers\etc\hosts

No Linux: Incluir uma linha contendo “177.185.194.106 www.prefeitura.sp.gov.br” no arquivo \etc\hots

Após fazer a alteração do arquivos hosts, acesse o site http://www.prefeitura.sp.gov.br.

Publicado em Malware | Comments Off on Site da prefeitura de São Paulo desfigurada (defaced) !

Como burlar o bloqueio do WhatsUp

Publicado em 17 de dezembro de 2015 por rbatori

whatsup-bloqueado

O serviço do WhatsUp está bloqueado nas operadoras por 48 horas a partir da 0h de hoje, dia 17 de dezembro. Este bloqueio ocorre devido a uma determinação judicial contra o WhatsUp por não atender a uma determinação judicial de 23 de junho e 2015. A decisão partiu da 1a. Vara Criminal de São Bernardo do Campo a partir de um processo que ocorre em segredo de justiça por uma ação criminal.

Este bloqueio é implementado através de regras de filtro baseadas no endereço IP dos servidores do WhatsUp.

Para burlar este bloqueio, existe diversas formas, como por exemplo, usar um aplicativo de VPN. Segue abaixo um procedimento simples realizado no iPhone:

  1. Entre no AppStore e pesquise por “VPN”.
  2. Neste exemplo, usamos no aplicativo “Betteret”. Instale o aplicativo no seu iPhone.
    betternet-1
  3. Enter no aplicativo e clique no botão Connect
    betternet-2
  4. Pronto! Entre no WhatsUp e tente usá-lo.

Esse aplicativo também está disponível para o sistema Android.

É importante observar que estes aplicativos gratuitos de VPN passam a receber a informações enviadas pelo seu smartphone. Existe o risco de existir a interceptação das informações trafegadas. A Batori recomenda que a VPN não seja usada para o uso de atividades importantes como acessar aplicativos de bancos ou outro tipo de transações financeiras.

Observação:  A Batori não representa e não tem nenhum relacionamento com a aplicativo Betternet. O aplicativo foi utilizado apenas como ilustração. A Batori não irá se responsabilizar por qualquer problema que possa vir a ocorrer com o uso deste aplicativo.

Publicado em Dispositivos Móveis | Comments Off on Como burlar o bloqueio do WhatsUp