Portuguese flagItalian flagKorean flagChinese (Simplified) flagChinese (Traditional) flagEnglish flagGerman flagFrench flagSpanish flagJapanese flagArabic flagRussian flagGreek flagDutch flagBulgarian flagCzech flagCroatian flagDanish flagFinnish flagHindi flagPolish flagRomanian flagSwedish flagNorwegian flagCatalan flagFilipino flagHebrew flagIndonesian flagLatvian flagLithuanian flagSerbian flagSlovak flagSlovenian flagUkrainian flagVietnamese flagAlbanian flagEstonian flagGalician flagMaltese flagThai flagTurkish flagHungarian flagBelarus flagIrish flagIcelandic flagMacedonian flagMalay flagPersian flag
Skip to content

February 8, 2010

5

Blackhat DC 2010 – Comentários

Nos dias 2 e 3 de fevereiro, aconteceu no Hyatt Regency Crystal City, em Washington, DC, a edição 2010 da Blackhat DC, um dos principais evento de segurança da informação. Tive a oportunidade de conferir tudo de perto e, eis então, meu (video)comentário sobre a organização e sobre as palestras que assisti.

Veja o vídeo após o Break.

Leia mais sobre Variedades

Autor : Pato

Pato

.

Leia mais posts do Pato que tem 2 posts publicados no OxenTI

Publicidade:
5 Comments Post a comment
  1. GuZ
    Feb 8 2010
    Bom! mtu bom.. Só que tal vc mudar seu avatar?
    Reply
  2. Fernando
    Feb 9 2010
    Putz, eu achava que Black Hat era crime, tem até evento sobre isso?? o_O
    2 Perguntas:
    1) XSS em Flash é novidade pra mim. Sabe de algum material pra mim ler à respeito?
    2) Na empresa, estamos migrando do Oracle 10 para Oracle 11. Essas falhas encontradas, todas elas são loacis, e as remotas, requerem um usuário no Oracle?
    Reply
    • Pato
      Feb 9 2010
      Flash pode executar JavaScript e pode receber parametros da URL. Esses 2 fatores juntos, obviamente dependendo do contexto, já é o necessário para um XSS. Também é comum scripts swf de banners que recebem os links que redirecionarão o user via parametros na URL. Modificando o parametro pra javascript:alert(1), por exemplo, já executaria o JS. São diversas as situações que podem ocorrer em swf. Não tenho links de papers em maos, mas nao deve ser muito dificil de achar.

      Quanto ao oracle, todas as falhas exigem que seja enviado uma query, por tanto, é preciso estar logado no servidor. Para isso, se um site conectado ao banco for vulneravel à SQL Injection, já seria possível explorar. De qualquer forma, já há formas de evitar que essas falhas sejam exploradas, dê uma olhada aqui: http://www.oracleforensics.com/wordpress/index.php/2010/02/07/securing-java-in-oracle-and-dbms_jvm_exp_perms/

      Abraços!

      Reply
      • Fernando
        Feb 9 2010
        Grato pelas informações!
        Reply

Share your thoughts, post a comment.

(required)
(required)

Note: HTML is allowed. Your email address will never be published.

Subscribe to comments

:alien: :angel: :angry: :blink: :blush: :cheerful: :cool: :cwy: :devil: :dizzy: :ermm: :face: :getlost: :biggrin: :happy: :heart: :kissing: :lol: :ninja: :pinch: :pouty: :sad: :shocked: :sick: :sideways: :silly: :sleeping: :smile: :tongue: :unsure: :w00t: :wassat: :whistle: :wink: :wub:


Monetizado com WP-HOTWords.
Web Analytics