Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | wow dude, XSS totally eXiStS !!one!
Isto devia tar na secçao de emprego :P |
| |
|
| | Tipicamente os sites institucionais de entidades bancárias não tocam em zonas importantes, estando relativamente isolados, logo problemas de segurança neles normalmente não passam de pequenos vexames.
Contudo neste caso tem grande importância porque XSS é uma técnica evidentemente valiosa para phishing de dados interessantes como contas em homebankings :)
Interessante é que estes sites são normalmente comprados por ingénuos em lugares de responsabilidade a empresas que sofrem de portalite aguda, e mesmo quando se exigem cuidados de segurança, como por exemplo filtrar INPUTS de dados, frequentemente vê-se coisas como "não vale a seguinte lista de caracteres" em vez da evidentemente melhor: "só vale esta lista de caracteres".
Explicações plausíveis: - clara aposta em mão de obra de baixo custo
- aliada a portalite aguda
- aliada a ingénuos que acham que para um site minimamente decente e útil é necessária uma plataforma 100% original para cada site e que é sempre vendida como chave na mão
O problema é que estes ingénuos repetem o mesmo erro ad nauseum, pelo que chamá-los de ingénuos é dar-lhes um crédito não merecido. |
| |
|
|
| | Nao que seja muito importante o que vou dizer, mas convinha releres o que escreveste ( e' que ha' muitos erros de portugues): " Concertesa havera mais e mais sites nacionais como instituicoes e bancos que estao vulneraveis a esta falha." Concerteza (...) De qualquer maneira foi bom ler. Parabens. Gostei especialmente da mensagem do gajo da clix.
Comecei uma dieta, cortei a bebida e comidas pesadas e, em catorze dias, perdi duas semanas. - Joe E. Lewis |
| |
|
| | Pois, eu hesitei em fazer o mesmo comentário, mas é realmente assustadora a quantidade de erros ortográficos e não só. Logo a abrir é um festival deles...
--- Omnia aliena sunt: tempus tantum nostrum est. (Séneca) "Tudo nos é alheio: apenas o Tempo é nosso." |
| |
Re:erm (Pontos:3, Esclarecedor) |
| | Já agora, não é nem "concerteza" nem "concertesa", mas sim "com certeza".
--- Omnia aliena sunt: tempus tantum nostrum est. (Séneca) "Tudo nos é alheio: apenas o Tempo é nosso." |
| |
| | E já agora a explicação
Cumprimentos, Jorge Laranjo 01100110 01110101 01100101 01100111 00110000 |
| |
| | my bad :)
Comecei uma dieta, cortei a bebida e comidas pesadas e, em catorze dias, perdi duas semanas. - Joe E. Lewis |
| |
| | Mas que? tavas numa de auditing ou assim do genero num sei qual foi o teu objectivo mas se foi meramente informativo acho que na te devias dar o trabalho ... estes espertos pagam rios de dinheiro a pessoal que faz mal o trabalho e ainda se riem dum tal que aponta os erros , isso que tu fizeste paga-se , apesar de na ter sido um trabalho muito extensivo . a melhor maneira se e que andas a procura de trabalho ou rendimento a fazer isso e trabalhares a fundo num auditing externo (penso ser legal ??? ) a rede do banco ou whatever que estejas interessado e depois apresentas um mailzito com as estatisticas o panorama geral mas nada especifico e apresentas a tua proposta , depois logo ves se eles estao dispostos a pagar sena1 man , deixo a tua consideração sempre lhes podes mostrar que afinal a questao de segurança pode ser importante ca na tuga (percebes??)... |
| |
|
| | falando de coisas mais sérias que XSS, não é a primeira vez que fazem coisas dessas em portugal.. deixo o link. esperam-se updates :o)
PS: hi ApPLeE, long time.. ;p |
| |
| | De os editores terem um bocadinho de trabalho e fazerem trabalho de edição das coisas... É que erros constantes de ortografia, dá uma lindo aspecto ao site (meio morto ou meio vivo, interessa ter as coisas com aspecto decente!). Quanto ao post, www.gnucitizen.org... Coisas bem mais interessantes no que toca a XSS e Javascript =)
The flaw derives from Firefox's willingness to supply the username and password stored on one page on a domain to another page on a domain. |
| |
|
|
| | "De os editores terem um bocadinho de trabalho e fazerem trabalho de edição das coisas... É que erros constantes de ortografia,dá uma lindo aspecto" Trimmm... |
| |
| | Se perdesses tempo a limpar essa tromba "linda" como perdes a apontar erros de dislexia, de certeza que terias uma tromba bem mais bonita ;)
The flaw derives from Firefox's willingness to supply the username and password stored on one page on a domain to another page on a domain. |
| |
| | Fala o roto do nú (e nunca a palavra roto foi tão bem empregue) |
| |
| | E o utilizador comum ia carregar nesses links com javascript/whatever injectados apartir de onde? Da tua página pessoal? |
| |
|
| | ah e tal ... olhando para os exemplos não é dificil criares tu uma página à tua maneira e depois spamares pessoal a dizer para consultarem essa pagina do banco em que necessitam de novos dados (como os dos cartões de crédito). Cumps- Gass |
| |
| | ah e tal, se é para enganar ppl que não olha a URLs, registo um dominio bancobpi.com faço um wget do site original (com as devidas alterações) e depois o spam, e não preciso de XSS para nada.
XSS é perigoso quando o consegues colocar dentro do próprio site, conseguindo talvez fazer hijacking da sessão ou fazer um redireccionamento que passe mais despercebido. Tal com é apresentado não serve para nada. |
| |
| | Mas tu achs que alguém que n perceba nada de html, XSS ... ou qq coisa a haver com programação acha esquisito seja aquilo que for no url????? Cumps- Gass |
| |
| | Mas tu achs que alguém que n perceba nada de html, XSS ... ou qq coisa a haver com programação acha esquisito seja aquilo que for no url????? Aquilo que disse deverá ser apenas válido para o do bpi... visto que os restantes, pensoq que são dentro de sessões, excepto o da cgd, onde também podes colocar algo a pedir contas e passwords. é facil criares um link para a página do bpi com exactamente aquilo que lá está, mas a funcionar. (ou a pedir os dados e remeter o login mais para o fundo da página). Ficas com acesso à conta da pessoa em questão. Isto é uma falha de segurança GRAVE do banco. Cumps- Gass |
| |
| | Deixa lá ashes, não és o único a dar-se conta disso e sim, ser ignorado é comum. cumps() |
| |