Descobrir e identificar vulnerabilidades de sites com Acunetix - Vulnerabilidades Web #5
Os sites bancários sofrem com falhas de projeto que minam sua segurança, excluindo vulnerabilidades de software, segundo estudo da Universidade de Michigan divulgado na sexta-feira.
De 214 sites pesquisados em 2006, mais de 75% tinham pelo menos um falha de projeto que poderia levar a um problema de segurança, disse a universidade. O fluxo e o layout dos sites podem tornar esses sites mais arriscados, e os problemas não podem ser corrigidos com um patch diferente de uma vulnerabilidade de software.
Algumas das descobertas do estudo foram divulgadas na terça-feira pela universidade. As descobertas completas serão apresentadas no Simpósio sobre Privacidade e Segurança Utilizável na sexta-feira na Universidade Carnegie Mellon em Pittsburgh
[Leia mais: Como remover malware do seu PC com Windows]O estudo foi realizado por Atul Prakash, uma professora no Departamento de Engenharia Elétrica e Ciência da Computação, e dois estudantes de doutorado, Laura Falk e Kevin Borders. Prakash começou a investigar depois de perceber problemas com o site de seu próprio banco, disse a universidade.
Embora a pesquisa tenha sido feita em 2006, muitos dos problemas ainda afetam os sites financeiros. Um dos principais problemas é a subutilização da tecnologia de criptografia SSL (Secure Sockets Layer) em páginas da Web.
O estudo descobriu que 47% dos bancos não usavam SSL em páginas de login, o que poderia abrir as portas para um hacker. reencaminhar dados para o seu próprio PC. O não uso do SSL também facilita a ocorrência de um ataque man-in-the-middle, onde os dados da vítima passam pelo PC de um invasor antes de ser encaminhado ao servidor do banco.
Outro problema generalizado que afeta 55% das instituições é colocar informações de contato e conselhos de segurança em páginas inseguras. Um hacker pode invadir o site e alterar o número de telefone do serviço ao cliente para direcionar os clientes bancários para um call center fictício. Novamente, o SSL é o remédio.
Os pesquisadores descobriram que 30 por cento dos sites redirecionariam os usuários para outros sites, o que poderia distorcer a forma como uma pessoa deveria avaliar o risco, disse o estudo., o site ao qual ele está vinculado provavelmente não será considerado um risco de segurança, mesmo que possa ser. O banco deve colocar todas as páginas da Web no mesmo servidor, mas algumas terceirizaram recursos de segurança hospedados em outros domínios.
IDs de usuários e senhas fracos continuam sendo problemáticos, com 28% dos bancos sem diretrizes de senha ou permitindo fraco uns. As instituições também enviarão senhas ou declarações por e-mail, o que também é arriscado, disse o estudo.
O pesquisador de segurança revela falhas no design do iPhone
O iPhone da Apple apresenta duas falhas de design que podem causar problemas de segurança. O primeiro deles diz respeito ao aplicativo de e-mail do iPhone, que faz o download automático de imagens em um e-mail, disse o pesquisador de segurança Aviv Raff na quinta-feira.
A plataforma se estenderá a não-Yahoo sites como o Amazon e o Digg, para que os usuários possam ver de dentro dos sites do Yahoo o que seus amigos vêm fazendo em outros lugares na Web. E sites de terceiros poderão publicar a atividade do usuário de volta na rede do Yahoo, o que poderia ajudar esses sites a atrair mais visitantes.
A empresa de pesquisa está fazendo os dados que armazena sobre os usuários - como contatos, interesses e localização - disponível para desenvolvedores criarem seus aplicativos. Os usuários finais poderão determinar quais informações seus amigos e desenvolvedores poderão ver, disseram autoridades do Yahoo, que fizeram uma prévia da plataforma em São Francisco na sexta-feira.
As piores falhas de segurança, falhas e erros de segurança em 2012
Números de segurança social roubados. Identidades online apagadas. Informações de pagamento falsificadas e até mesmo bloqueios de hotéis hackeados. Sim, 2012 foi um ano marcante para os bandidos.