Clickjacking em grandes aplicações Web

De acordo com este especialista em Segurança da Informação israelita, Narkolayev Shlomi, o mesmo encontrou em algumas das principais aplicações Web que são usadas por milhões de utilizadores, vulnerabilidades do tipo Clickjacking.

O Clickjacking é uma técnica maliciosa que permite os utilizadores de aplicações Web a revelarem informação confidencial ou que permitem controlar o seu computador, quando os mesmos carregam em páginas web aparentemente inofensivas. Esta é uma vulnerabilidade que pode ser encontrada em multiplas plataformas e browsers, e assume a forma de código embebido ou scripts que podem ser executados sem a permissão e conhecimento dos utilizadores quando o utilizador carrega num botão da página que aparenta desempenhar outra função.

De acordo com este especialista israelita, o mesmo pode escrever uma aplicação maliciosa, que pode explorar este tipo de vulnerabilidade em grandes aplicações Web, como por exemplo o Facebook.

Aqui fica um vídeo que demonstra esta vulnerabilidade.

clickjacking, Facebook, vulnerabilidades

Print article

This entry was posted by Carlos Serrao on January 20, 2010 at 6:43 pm, and is filed under Problemas. Follow any responses to this post through RSS 2.0. You can skip to the end and leave a response. Pinging is currently not allowed.

Related Posts
Comments (0)

No comments yet.

Arachni – nova ferramenta de detecção de vulnerabilidades de aplicações web

about 1 month ago - No comments

Aqui fica mais uma ferramenta para detecção automática de vulnerabilidades em aplicações web, desenvolvida em Ruby. Esta ferramenta chama-se Arachni.

Está ainda numa fase de desenvolvimento muito intenso, mas pode ser mais uma ferramenta importante a juntar ao rol das existentes.

Carreiras em PenTesting e Análise de Vulnerabilidades

about 3 months ago - No comments

Um interessante artigo, que recomendo a quem pensa fazer uma carreira profissional na área dos Testes de Penetração e de Análise de Vulnerabilidades.

Vale a pena dar uma vista de olhos…

Jarlsberg

about 3 months ago - No comments

Jarlsberg é o seu nome, e é uma aplicação desenvolvida pela Google para demonstrar como funcionam as principais vulnerabilidades em aplicações Web. Como já havia referido por aqui, o gigante da Web parece finalmente ter acordado para o verdadeiro problema de segurança das aplicações Web, e começa a apostar bem forte na protecção das mesmas,

Google Web scanner – o SkipFish

about 3 months ago - 1 comment

O Google, o gigante da Internet e em que cujo o modelo de negócios assenta essencialmente sobre a distribuição de aplicações e serviços através de Web, parece finalmente ter acordado para a necessidade de ter maior nível de segurança ao nível aplicacional.

De acordo com o que o próprio Google afirma:

The safety of the Internet is

Indisponibilidade do Facebook Chat

about 4 months ago - No comments

Durante uma boa parte do dia de hoje o Facebook, uma das maiores redes sociais na Web do Mundo, esteve com alguns problemas técnicos. Nomeadamente no que diz respeito ao chat on-line.

Assim, e segundo o TechCrunch, um problema de segurança permitia que um determinado utilizador pudesse visualizar as conversações on-line dos seus amigos.

Ao que parece,

OWASP Top 10 2010 lançado!!!

about 4 months ago - No comments

A nova versão do OWASP Top 10 (2010) já está aí. Foi hoje lançada a mais recente versão desta lista de riscos (e não vulnerabilidades) que afectam (ou podem afectar) as aplicações Web.

Como sempre, podem descarregar a versão final do documento a partir do site da OWASP, e aproveitem para divulgar este documento – aquela

Europa vulnerável a ciber-ataques? Ficção ou Realidade?

about 5 months ago - No comments

Realidade… a mais pura das realidades.

O alerta vem agora da Câmara dos Lordes, que num relatório designado por “Protecting Europe Against Large-Scale Cyber-Attacks – Report with Evidence“, vem alertar Bruxelas para as políticas falhadas em matéria de criação de defesas online que protejam a União Europeia.

Não tem sido por falta de intervenção de entidades especializadas

Mutillidae: a OWASP Top 10 em PHP

about 5 months ago - No comments

Quem lê o que eu tenho escrito por aqui, quer em algumas revistas em que tenho tido a oportunidade de escrever umas coisas, pode verificar facilmente que apresento como um dos principais motivos para a insegurança das aplicações web, a falta de formação.

A falta de formação, ou a formação deficiente de quem tem que desenvolver

Skipfish

about 5 months ago - No comments

Aqui fica uma ferramenta para testes automáticos de aplicações web,desenvolvida pela Google, que pode ajudar a determinar a resolver algumas vulnerabilidades em aplicações web: skipfish.

Facebook, Malware e a OWASP

about 5 months ago - No comments

Numa altura em que o Facebook conta já com mais de 400 milhões de utilizadores, a plataforma de redes sociais mais popular da Internet continua a ser bombardeada com esquemas específicos para ludibriar os utilizadores (spam, phishing, distribuição de malware, etc.) e para comprometer a segurança, privacidade e os bens dos mesmos.

Está a ser distribuído

Pages
January 2010

M T W T F S S

« Dec Feb »

1 2 3

4 5 6 7 8 9 10

11 12 13 14 15 16 17

18 19 20 21 22 23 24

25 26 27 28 29 30 31

January 2010
M	T	W	T	F	S	S
« Dec				Feb »
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Clickjacking em grandes aplicações Web

No comments yet.

Tags

Recent Posts

Pages