Bug Bounty Hunting - iframe Injection & HTML Injection
Depois que a Adobe Systems pediu que eles mantivessem silêncio sobre suas descobertas, dois pesquisadores de segurança desistiram de uma conversa técnica em que demonstrariam como poderiam controlar o navegador da vítima usando um ataque online chamado 'clickjacking'. Robert Hansen e Jeremiah Grossman estavam preparados para proferir sua palestra na semana que vem na conferência OWASP (Open Web Application Security Project), em Nova York. Mas o código de prova de conceito que eles desenvolveram para mostrar como o ataque de clickjacking funcionou divulgou um bug em um dos produtos da Adobe. Depois de uma semana de discussões com a Adobe, os pesquisadores decidiram na última sexta-feira. Embora Hansen e Grossman acreditem que a falha do clickjacking está na maneira como os navegadores da Internet são projetados, a Adobe os convenceu a adiar sua discussão. até que eles pudessem liberar um patch. "A Adobe acredita que pode fazer algo para tornar o hack mais difícil", disse Grossman, CTO da White Hat Security. Em um ataque de clickjacking, o atacante engana a vítima para clicar em links maliciosos sem perceber. Este tipo de ataque é conhecido há anos, mas não foi considerado particularmente perigoso. Especialistas em segurança pensaram que poderia ser usado para cometer fraudes em cliques publicitários ou inflar as classificações do Digg para uma página da Web, por exemplo.
No entanto, ao escrever seu código de prova de conceito, Hansen e Grossman perceberam que clickjacking era na verdade mais mais sério do que eles pensaram.
"Quando finalmente construímos e obtivemos a prova de conceito, foi bastante desagradável", disse Grossman. "Se eu controlar o que você clica, quanto mal posso fazer? Acontece que você pode fazer uma série de coisas realmente ruins."
Nem Grossman nem Hansen, CEO da consultoria SecTheory, queriam entrar em detalhes. do seu ataque. No entanto, Tom Brennan, o organizador da conferência OWASP, disse que viu o código de ataque demonstrado e que permite que o atacante assuma o controle total da área de trabalho da vítima. Os pesquisadores dizem que não foram pressionados pela Adobe a interromper suas conversas.. "Esta não é uma situação mal 'o homem está tentando nos manter hackers'", Hansen escreveu segunda-feira em seu blog.
Segunda-feira tardia, a Adobe postou uma nota, agradecendo aos pesquisadores por manter o bug privado e indicando que o A empresa está trabalhando para remediar o problema
Mesmo se a descoberta do bug puder ajudar os invasores, Brennan da OWASP disse que os pesquisadores ainda devem dar palestras para dar aos profissionais de TI uma oportunidade de entender a verdadeira natureza da ameaça.. "Há um problema de dia zero nos navegadores que afeta milhões de pessoas hoje", disse ele. "Quando uma pessoa discute, coloca todos no mesmo campo de jogo."
Hansen e Grossman dizem que eles também esperam que a Microsoft corrija um bug relacionado no Internet Explorer, e que muitos outros navegadores também sejam afetados pelo problema do clickjacking.. "Acreditamos que é mais ou menos um problema de segurança do navegador", disse Grossman.
A Vodafone está adquirindo uma participação de 70 por cento na Ghana Telecom por US $ 900 milhões A Vodafone está adquirindo uma participação de 70 por cento na Ghana Telecom por US $ 900 milhões do governo local, anunciou na quinta-feira.
O país é um dos mercados mais atraentes da África, graças a uma população jovem, uma baixa penetração móvel de cerca de 35% e um crescimento de assinantes de mais de 55% ao ano, segundo a Vodafone.
A Voype, que concorre com o serviço Skype VOIP da eBay, oferece chamadas gratuitas de PC para PC entre usuários do Windows Live Messenger. As chamadas para telefones nos EUA, fixas ou móveis, custam US $ 0,014 por minuto, enquanto as chamadas fixas e móveis para o Canadá custam US $ 0,055 por minuto. As chamadas para linhas fixas no México custam US $ 0,104 por minuto, enquanto as chamadas para telefones celulares custam US $ 0,277 por minuto.
Uma lista de outros países e tarifas de chamadas está disponível no site do serviço Voype, onde as pessoas também podem se inscrever.
O SearchMonkey agora oferece um mecanismo para os usuários adicionarem uma variedade de informações e imagens para notícias, informações locais, produtos, eventos e páginas de discussão. Por exemplo, um fornecedor pode fazer com que preços, avaliações de clientes e uma imagem do produto surjam como parte do resultado da pesquisa para o nome do produto. Tudo o que precisaria seriam algumas linhas de código, e os resultados apareceriam algumas semanas depois, depois que o Yahoo tivesse rastreado a
O Yahoo continuará a suportar formatos de dados padrão como RDFa (Resource Description Framework) e microformatos, e vai adicionar suporte para NewsML (News Markup Language) Não há processo de inscrição, disse o Yahoo.