[Owasp-brazilian] Security Vendor Kasperky Hacked Via SQL Injection

Wagner Elias wagner.elias at gmail.com
Mon Feb 9 19:31:12 EST 2009


Vish, falando em php filesystem, fiz uns PoCs hoje e deu até medo... :(


2009/2/9 Thiago Zaninotti <thiago at zaninotti.net>:
> Talvez expressão que melhor cabe é a de um código defensivo. As vezes você e
> seu código decente :) estão sustentando toda a proteção em cima de uma
> fundação problemática (ex:
> http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/).
>
> Problemas como esse me fazem lembrar de diferenças sutis como o
> comportamento do snprintf() na glibc e win32 (null terminating bytes) que já
> trouxeram problemas no passado
> (http://cwe.mitre.org/data/definitions/170.html).
>
> []s
> --
> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM
> Sr. InfoSec Professional
>
> 2009/2/9 /* Alberto Fabiano */ <alberto at ccppbrasil.org>
>>
>> Veja bem...
>>
>> Código decente do ponto de vista de quem? Do referido da Kaspersky
>> pode ser decente, para mim pode ser "descente" para outros decadente e
>> para muitos "normal"; sem crise.
>>
>>
>> On Mon, Feb 9, 2009 at 8:24 PM, Wagner Elias <wagner.elias at gmail.com>
>> wrote:
>> > Ler o top 10 é fácil, difícil é escrever código decente. :)
>> >
>> > Abs
>> >
>> > 2009/2/9 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
>> >> Poxa,
>> >> Será que é dificil ler o top10 pelo menos? =D
>> >>
>> >> http://www.cgisecurity.com/2009/02/security-vendor-kasperky-hacked-via-sql-injection.html
>> >>
>> >> []z!
>> >>
>> >> --
>> >> ===========================
>> >> Rodrigo Montoro (Sp0oKeR)
>> >> http://www.spooker.com.br
>> >> http://www.snort.org.br
>> >> http://www.linkedin.com/in/spooker
>> >> ===========================
>> >>
>> >> _______________________________________________
>> >> Owasp-brazilian mailing list
>> >> Owasp-brazilian at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>
>> >>
>> >
>> >
>> >
>> > --
>> > Att.
>> > Wagner Elias
>> > http://wagnerelias.com
>> > _______________________________________________
>> > Owasp-brazilian mailing list
>> > Owasp-brazilian at lists.owasp.org
>> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
>
>



-- 
Att.
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list