Por motivos profissionais de dois membros (eu e o Khaled), o UnSecurity.info foi extinto no inicio de Dezembro por falta de tempo.  Pedimos desculpa a todos os leitores do blogue e agradeço a todos que nos visitaram e participaram.

A nossa conta twitter passou para as mãos do David e do seu novo projecto, que recomendo a visitarem – WebSegura.net.

Este blogue vai continuar online devido aos conteúdos, mas não vai ter novas actualizações.

Abraço

GZ

Nos dias 10 e 11 de Dezembro vai-se realizar, em Madrid – Espanha, a Iberic Web Application Security Conference com a organização
da OWASP Portugal e OWASP Espanha.

Um evento com tópicos interessantes no programa e com a participação especial de Bruce Schneier.

Agenda:

Dos temas que mais me despertam a curiosidade faço referência ao SQL Injection – how far does the rabbit hole go? de Justin Clarke e do tema de autoria de Miguel Almeida – Authentication: choosing a method that fits.

Recomendo a visita a este evento a qualquer pessoa (profissional,estudante, entusiasta) mesmo que não esteja inteiramente integrado na área de segurança informática.
Este evento pode tornar-se numa experiência bastante enriquecedora devido à diversidade de tópicos agendados e a possibilidade de interagir com centenas de especialistas da área.

Se estiver interessado deixo aqui o link directo com a localização e informações de transportes e alojamento.

Preços:

DS

Foi publicado um artigo pela empresa de segurança alemã SektionEins que refere vários tópicos de como é possível explorar falhas na linguagem de programação PHP.

Um artigo completo de 59 páginas com exemplos práticos e bastante elucidativos proporcionando facilidade de compreensão tanto a analistas de segurança como a programadores.

O artigo divide-se em três secções:

• Iludir/Evitar WAFs (Web Application Firewall)
• Vulnerabilidades em Aplicações PHP
• Vulnerabilidades em PHP Interruptions após as últimas correções

Em todas as secções existem PoC em aplicações opensource e comerciais.

Artigo completo pode ser descarregado aqui.

DS

Uma das ferramentas favoritas de administradores e analistas de segurança disponibilizou a primeira versão beta do Nmap 5.10.

Entre as principais modificações estão:

• 14 novos scripts NSE, totalizando um total de 72;
• Novo sistema de traceroute tornando o sistema mais rápido e eficaz;
• Filtro de hosts para o Zenmap;
• Payloads especificos para UDP , tornando o scan UDP e a resolução de hostnames mais eficazes;
• E mais 100 outras alterações…

Podem fazer o download aqui ou obter mais informações na mailing list do nmap.

GZ

Shodan é uma aplicação web permite encontrar servidor, routers, etc usando um motor de busca online. Maior parte da informação é relativa a banners do web server mas também já consegue capturar partes de informação de serviços de FTP, Telnet e SSH.

Simples de usar mas ainda numa versão de testes.

Exemplo de uso:

apache country:PT port:80 hostname:.pt

Também já está disponível em forma de add-on para o browser Mozilla Firefox aqui.

GZ