As 5 vulnerabilidades mais comuns em web sites e como evitá-las
O espaço público da internet requer um acompanhamento constante dos responsáveis por um web site para protegê-lo contra invasões.
Trata-se de um trabalho a quatro mãos: o provedor de hospedagem cuida da proteção da infraestrutura de rede e servidores, enquanto o programador zela pelas aplicações que rodam no site.
Para auxiliar os programadores a prevenir invasões que resultem em acesso não autorizado a arquivos e bancos de dados, a Bruc Internet elaborou uma lista com as 5 principais vulnerabilidades exploradas pelos hackers e as providências que podem ser tomadas para evitar o problema.
Continue: https://www.bruc.com.br/duvidas/desenvolvimento-de-sites/ler/as-5-vulnerabilidades-mais-comuns-em-web-sites-e-como-evita-las.html
🌎@RubyOfSec
O espaço público da internet requer um acompanhamento constante dos responsáveis por um web site para protegê-lo contra invasões.
Trata-se de um trabalho a quatro mãos: o provedor de hospedagem cuida da proteção da infraestrutura de rede e servidores, enquanto o programador zela pelas aplicações que rodam no site.
Para auxiliar os programadores a prevenir invasões que resultem em acesso não autorizado a arquivos e bancos de dados, a Bruc Internet elaborou uma lista com as 5 principais vulnerabilidades exploradas pelos hackers e as providências que podem ser tomadas para evitar o problema.
Continue: https://www.bruc.com.br/duvidas/desenvolvimento-de-sites/ler/as-5-vulnerabilidades-mais-comuns-em-web-sites-e-como-evita-las.html
🌎@RubyOfSec
Criação de sites e lojas virtuais em Curitiba - Bruc Internet
As 5 vulnerabilidades mais comuns em web sites e como evitá-las | Criação de sites e lojas virtuais em Curitiba - Bruc Internet
O espaço público da internet requer um acompanhamento constante dos responsáveis por um web site para protegê-lo... - Criação de sites e lojas virtuais em Curitiba - Bruc Internet
Tutorial de SQL Injection
Segurança sempre foi e será um tema que preocupa todos nós, seja em casa, nas ruas ou no trabalho. Quando falamos de segurança em informática, não existe um só departamento de uma única empresa que não tenha também esta preocupação. Se questionarmos sobre segurança com desenvolvedores e DBAs, a preocupação será maior ainda, pois são justamente estes dois departamentos os principais responsáveis pelas aplicações que as empresas disponibilizam na rede local (intranet), ou global (internet). São vários os objetos dessa preocupação, mas existe um tema relativamente antigo, desconhecidos por muitos, mas com potencial devastador quando explorado: o SQL Injection, que será o assunto dessa matéria.
Continue: https://www.devmedia.com.br/sql-injection/6102
🌎@RubyOfSec
Segurança sempre foi e será um tema que preocupa todos nós, seja em casa, nas ruas ou no trabalho. Quando falamos de segurança em informática, não existe um só departamento de uma única empresa que não tenha também esta preocupação. Se questionarmos sobre segurança com desenvolvedores e DBAs, a preocupação será maior ainda, pois são justamente estes dois departamentos os principais responsáveis pelas aplicações que as empresas disponibilizam na rede local (intranet), ou global (internet). São vários os objetos dessa preocupação, mas existe um tema relativamente antigo, desconhecidos por muitos, mas com potencial devastador quando explorado: o SQL Injection, que será o assunto dessa matéria.
Continue: https://www.devmedia.com.br/sql-injection/6102
🌎@RubyOfSec
DevMedia
SQL Injection Tutorial: O que é SQL Injection? Como Evitar? Veja!
Esse artigo ensina sobre o SQL Injection que é uma classe de ataque onde o invasor pode inserir ou manipular consultas criadas pela aplicação, que são enviadas diretamente para o banco de dados relacional.
Wireshark
O Wireshark é o analisador de protocolo de rede mais utilizado e amplamente utilizado no mundo. Ele permite que você veja o que está acontecendo na sua rede em um nível microscópico e é o padrão de fato (e geralmente de jure) em muitas empresas comerciais e sem fins lucrativos, agências governamentais e instituições educacionais. O desenvolvimento do Wireshark prospera graças às contribuições voluntárias de especialistas em redes ao redor do mundo e é a continuação de um projeto iniciado por Gerald Combs em 1998.
https://www.wireshark.org/
🌎@RubyOfSec
O Wireshark é o analisador de protocolo de rede mais utilizado e amplamente utilizado no mundo. Ele permite que você veja o que está acontecendo na sua rede em um nível microscópico e é o padrão de fato (e geralmente de jure) em muitas empresas comerciais e sem fins lucrativos, agências governamentais e instituições educacionais. O desenvolvimento do Wireshark prospera graças às contribuições voluntárias de especialistas em redes ao redor do mundo e é a continuação de um projeto iniciado por Gerald Combs em 1998.
https://www.wireshark.org/
🌎@RubyOfSec
Forwarded from Marcio Gandra
Pra quem usa iPhone, urgente.
Ajustes -> privacidade -> Facebook e desativa permissão de acesso a câmera.
Última atualização ta filmando escondido, o Facebook se pronunciou falando que ‘é um bug mas não grava nada’.
Não grava o cacete. Se você tá com Jailbreak seja unc0ver ou CheckRa1n abre o Filza e vai em:
/private/var/mobile/Containers/Data/Application/UUID DO APP DO FACEBOOK INSTALADO/Documents/media_upload_storage
E dê de cara com vídeos da suas câmeras frontais e traseiras que você com certeza não fez.
Ajustes -> privacidade -> Facebook e desativa permissão de acesso a câmera.
Última atualização ta filmando escondido, o Facebook se pronunciou falando que ‘é um bug mas não grava nada’.
Não grava o cacete. Se você tá com Jailbreak seja unc0ver ou CheckRa1n abre o Filza e vai em:
/private/var/mobile/Containers/Data/Application/UUID DO APP DO FACEBOOK INSTALADO/Documents/media_upload_storage
E dê de cara com vídeos da suas câmeras frontais e traseiras que você com certeza não fez.
Hackers identificam falha de segurança no Amazon Echo
Fonte : https://exame.abril.com.br/tecnologia/hackers-identificam-falha-de-seguranca-no-amazon-echo/
São Paulo – A morada da inteligência artificial Alexa, da Amazon, é a linha de alto-falantes chamada Echo. No entanto, a segurança desses aparelhos, conectados à internet e que podem controlar dispositivos como lâmpadas inteligentes, pode estar comprometida. Esse é o parecer de uma dupla de hackers, chamada Flouroacetate. Eles reportaram uma falha no Amazon Echo Show 5, a versão do Echo que tem uma tela (como um rádio-relógio conectado e que atende a comandos de voz). Por meio dessa brecha, o invasor conseguiria até acessar a internet da casa dos usuários do Echo.
A dupla estava concorrendo ao prêmio anual da competição Pwn2Own – uma competição onde hackers são desafiados a explorarem de forma intensa e profunda aparelhos tecnológicos para encontrar possíveis vulnerabilidades que, até então, não haviam sido identificadas.
Fonte : https://exame.abril.com.br/tecnologia/hackers-identificam-falha-de-seguranca-no-amazon-echo/
Hacker exige US$ 5 milhões da Pemex antes de 30 de novembro
Fonte https://economia.uol.com.br/noticias/bloomberg/2019/11/14/hacker-exige-us-5-milhoes-da-pemex-antes-de-30-de-novembro.htm
🌎@RubyOfSec
(Bloomberg) -- O hacker por trás de um ataque cibernético que paralisou os sistemas de informática da Petróleos Mexicanos desde o fim de semana está exigindo quase US$ 5 milhões da empresa e parece ter estipulado um prazo até 30 de novembro para receber o pagamento.
A Pemex tem outros planos. A petroleira disse que não pagará o resgate e espera resolver o problema do ataque cibernético hoje, segundo comentários do ministro de Energia do México, Rocio Nahle, na quarta-feira.
A gigante petrolífera mexicana é alvo de um hacker desconhecido que usa o nome "Joseph Atkins" em um endereço de e-mail - quase certamente um pseudônimo. Em resposta a um e-mail da Bloomberg News, a pessoa não quis comentar sobre a Pemex até 30 de novembro, último dia do prazo de três semanas
Fonte https://economia.uol.com.br/noticias/bloomberg/2019/11/14/hacker-exige-us-5-milhoes-da-pemex-antes-de-30-de-novembro.htm
🌎@RubyOfSec
economia.uol.com.br
Hacker exige US$ 5 milhões da Pemex antes de 30 de novembro
(Bloomberg) -- O hacker por trás de um ataque cibernético que paralisou os sistemas de inf...
Falha na câmera do Android permitia que hackers espionassem sua vida pessoal
🌎@RubyOfSec
Uma nova vulnerabilidade encontrada pelos pesquisadores da Checkmarx e que foi revelada publicamente nesta terça-feira (19) deve colocar milhões de usuários Android em alerta, já que ela permite que aplicativos tenham acesso à câmera dos smartphones sem a permissão expressa dos usuários.Fonte http://paraiba.com.br/2019/11/20/falha-na-camera-do-android-permitia-que-hackers-espionassem-sua-vida-pessoal/
A partir dessa falha, apps que, em seus termos de uso, não necessitariam do acesso à câmera, conseguiriam usar da brecha para abrir o Google Camera e o Samsung Camera e, assim, tirar fotos, gravar vídeos e até extrair dados de localização GPS sem a permissão ou mesmo conhecimento do dono do celular.
Normalmente, para se ter acesso à câmera do aparelho, um aplicativo precisa que o usuário conceda a ele permissão para acessar a câmera, gravar áudio e acessar a localização GPS do dispositivo. No entanto, a falha batizada pela Checkmarx de CVE-2019-2234 permitia que qualquer app que tivesse a permissão para armazenar e acessar arquivos na memória interna do smartphone e nos cartões SD do aparelh tivesse caminho livre para executar os aplicativos de câmera da Google e da Samsung como bem entendessem, desde que, obviamente, estivessem instalados no telefone. E, como qualquer foto tirada pelo celular também possui metadados de GPS, também seria possível ter acesso à localização do aparelho.
Assim, um cibercriminoso poderia criar um aplicativo inocente, como um organizador de cartão SD, um joguinho de corrida ou mesmo um app de previsão do tempo, e a partir dele ter acesso total à câmera do aparelho remotamente, podendo tirar fotos e gravar vídeos comprometedores que poderiam ser usados para chantagens. Isso porque a permissão de acesso para armazenar e acessar arquivos é o tipo mais comum para qualquer app...
🌎@RubyOfSec
Google Offers Up to $1.5 Million Bounty for Remotely Hacking Titan M Chip
Fonte : https://thehackernews.com/2019/11/google-pixel-titan-m-chip.html
With its latest announcement to increase bug bounty rewards for finding and reporting critical vulnerabilities in the Android operating system, Google yesterday set up a new challenging level for hackers that could let them win a bounty of up to $1.5 million.🌎@RubyOfSec
Starting today, Google will pay $1 million for a "full chain remote code execution exploit with persistence which compromises the Titan M secure element on Pixel devices," the tech giant said in a blog post published on Thursday.
Moreover, if someone manages to achieve the same in the developer preview versions of Android, Google will pay an additional $500,000, making the total to $1.5 million—that's 7.5 times more than the previous top Android reward.
Introduced within the Pixel 3 smartphones last year, Google's Titan M secure element is a dedicated security chip that sits alongside the main processor, primarily designed to protect devices against the boot-time attacks.
In other words, Titan M chip is a separate hardware component to Android Verified Boot that also takes care of sensitive data, lock-screen passcode verification, factory-reset policies, private keys, and also offers secure API for critical operations like payment and app transactions.
Considering this, it's usually tough to find a 1-click remote code execution exploit chain on the Pixel 3 and 4 devices, and, until now, only one cybersecurity researcher, Guang Gong of Qihoo 360, has been able to do that...
Fonte : https://thehackernews.com/2019/11/google-pixel-titan-m-chip.html
Hackers que invadiram a conta do CEO do Twitter estão presos
Fonte : https://olhardigital.com.br/fique_seguro/noticia/hackers-que-invadiram-a-conta-do-ceo-do-twitter-estao-presos/93387
Prisões foram confirmadas por "Debug", lider do grupo hacker Chuckling Squad. Conta de Jack Dorsey foi usada para postar ameaças de bomba, mensagens racistas e material anti-semita.🌎@RubyOfSec
Um dos hackers que invadiu a conta do CEO do Twitter, Jack Dorsey, na rede social foi preso há cerca de duas semanas. A informação foi confirmada ao site Motherboard por “Debug”, líder do grupo Chuckling Squad, ao qual o hacker pertencia.
A conta de Dorsey foi invadida em setembro deste ano usando uma técnica chamada SIM Swap. Essencialmente, os hackers convenceram a operadora a atribuir o número de telefone de Dorsey a um novo SIM Card que eles controlavam. Durante a invasão o grupo usou a conta do executivo, com mais de 4,3 milhões de seguidores, para postar ameaças de bomba, mensagens racistas e material anti-semita...
Fonte : https://olhardigital.com.br/fique_seguro/noticia/hackers-que-invadiram-a-conta-do-ceo-do-twitter-estao-presos/93387
Olhar Digital
Hackers que invadiram a conta do CEO do Twitter estão presos
Prisões foram confirmadas por
Forwarded from Sr. F
YouTube
Aula de Overflow e criando um exploit do zero
Neste vídeo, vamos abordar alguns assuntos sobre o que é um buffer overflow (de forma superficial) e como usar deste problema para ganhar acesso em uma máquina criando um exploit do zero.
vamos aos cursos e e-books:
1 ° Assembly:
° http://asmtutor.com/…
vamos aos cursos e e-books:
1 ° Assembly:
° http://asmtutor.com/…
Nubank alerta usuários para não pagarem fatura com o próprio cartão
Algumas pessoas estão tentando pagar os valores por meio de aplicativos como PicPay e RecargaPay
Mais em
Fonte : https://olhardigital.com.br/noticia/nubank-alerta-usuarios-para-nao-pagarem-fatura-com-o-proprio-cartao/93650
Algumas pessoas estão tentando pagar os valores por meio de aplicativos como PicPay e RecargaPay
O Nubank aparentemente percebeu que alguns usuários estavam tentando inovar na hora de pagar a fatura do cartão. Em vez de gerar o boleto e pagar em banco, como seria o normal, eles estavam utilizando aplicativos de carteiras digitais como PicPay e RecargaPay para pagar a fatura utilizando o próprio cartão do Nubank cadastrado nestes apps. A empresa decidiu emitir um alerta para que seus clientes não façam isso.
A ideia do usuário que recorre a uma medida do tipo é simples: ao utilizar esses apps para pagar a fatura, ele estaria apenas adiando o pagamento sem precisar pagar os altos juros do cartão de crédito. No entanto, o Nubank explica que essa ideia não funciona no mundo real.
Essa prática faz com que o pagamento da fatura seja sempre adiado, assim os débitos não são quitados e sim inseridos novamente na fatura seguinte como valor de compras”, diz o blog do Nubank. “Ou seja: ao pagar a fatura do cartão com o próprio cartão, o cliente está aumentando a sua dívida”, conclui.
O Nubank também diz que tentar utilizar o cartão desta forma pode fazer com que ele seja cancelado, se for constatado que o cliente está fazendo uso indevido do serviço...
Mais em
Fonte : https://olhardigital.com.br/noticia/nubank-alerta-usuarios-para-nao-pagarem-fatura-com-o-proprio-cartao/93650
Olhar Digital
Nubank alerta usuários para não pagarem fatura com o próprio cartão
Algumas pessoas estão tentando pagar os valores por meio de aplicativos como PicPay e RecargaPay
Olá, você já pode jogar o CAPÍTULO 2 do HACKTHEPLANET CTF.
~ Prepara o teclado, porque que vai aqueçer.
Para concluir este CTF você deve encontrar 4 flags e enviar para o email:
capturetheflag@hakspace.com
Para iniciar, acessa o link abaixo:
http://hakspace.com/capturetheflag
PRÊMIO: VPS (VIRTUAL PRIVATE SERVER)
OBS: Não esqueça de seguir todas as regras.
Mantido pela HakSpace.
~ Prepara o teclado, porque que vai aqueçer.
Para concluir este CTF você deve encontrar 4 flags e enviar para o email:
capturetheflag@hakspace.com
Para iniciar, acessa o link abaixo:
http://hakspace.com/capturetheflag
PRÊMIO: VPS (VIRTUAL PRIVATE SERVER)
OBS: Não esqueça de seguir todas as regras.
Mantido pela HakSpace.
Alleged Russian Hacker Behind $100 Million Evil Corp Indicted
🌎@RubyOfSec
Fonte : https://www.wired.com/story/alleged-russian-hacker-evil-corp-indicted/
The US is charging Maksim Yakubets over two of the biggest cybertheft campaigns of the last decade, and offers a record reward for information on the case.For the last decade, the hackers behind Evil Corp have led a sustained assault on the bank accounts of thousands of victims across dozens of countries. By steadily evolving malware known as Bugat, they indiscriminately siphoned tens of millions of dollars from unwitting victims. Thursday, the FBI indicted Evil Corp’s alleged leader: Maksim V. Yakubets, also known as “aqua.”
The indictment, which you can read in full below, details in broad strokes the playbook that Yakubets and Igor Turashev, another Russian charged in the scheme, allegedly have rolled out countless times. They’d convince victims to click on a malicious link in a phishing email to download Bugat. Once installed, the malware would use a variety of techniques to steal: a keylogger to grab passwords, or creating fake banking pages to trick someone into voluntarily entering their credentials. Armed with that information, the hackers would arrange for electronic funds transfers from victim bank accounts to a network of so-called money mules, who would then get the funds back to Evil Corp.
“Each and every one of these intrusions was effectively a cyber-enabled bank robbery,” said assistant US attorney general Brian Benczkowski at a press conference announcing the indictment Thursday. Both men are still at-large in Russia.
Evil Corp was apparently also in the franchise business. According to court documents, Yakubets gave a UK resident access to Bugat in exchange for $100,000 up front, plus 50 percent of all revenues, with a minimum take of $50,000 a week. Like any good franchisor, Yakubets offered technical support as needed...🌎@RubyOfSec
Fonte : https://www.wired.com/story/alleged-russian-hacker-evil-corp-indicted/
WIRED
Alleged Russian Hacker Behind $100 Million Evil Corp Indicted
The US is charging Maksim Yakubets over two of the biggest cybertheft campaigns of the last decade, and offers a record reward for information on the case.