AMendes Security

Hoje em dia vejo que há uma maior aposta na segurança informática por parte das empresas, cada vez há mais empresas a realizarem auditorias ao seu software e a protegerem-se com Firewalls, IDSs, IPSs, etc.  Há ainda, a meu ver, um factor muito importante a ser trabalhado, a aposta na formação dos recursos humanos. Cada vez há mais erros básicos a comprometerem a segurança. Acontece sobretudo pela  partilha indevida de informação sensível, quer nas redes sociais, quer nas aplicações móveis, quer em sites de copy & paste de texto. Um bom exemplo disso é o site "pastebin", nesse site são colocados  por hora milhares de "pasties", e alguns deles contendo informação sensível. Coloquei a correr um dos muitos crawlers contra o pastebin(guardando os pasties de meu interesse com base em expressões regulares) e a quantidade de informação que obtive é "assustadora", em menos de uma hora obtive o seguinte: - 2228 emails com respectiva password (não testei...

Necessitei infelizmente de publicar uma queixa no "famoso" portal da Queixa. Fiquei desconfiado da segurança do site, pois reparei que o site não tem configurado HTTPS, sendo que para submeter uma queixa temos de preencher um formulário de registo e fazer login, custa-me a acreditar que hoje em dia um site com autenticação não tenha configurado o HTTPS! Não custa nada -> Let's Encrypt ). Resolvi então dar uma olhada mais profunda no site... Experimentei a caixa de pesquisa, e verifiquei que é retornado o valor pesquisado na página HTML. Tentei então injectar código javascript mas reparei que o site faz algum tipo de validação e elimina os eventos de javascript como "onmouseover", "onfocus", "onclick", etc... Tentei algumas substituições mas não obtive sucesso. Verifiquei também que as tags "<script>" estavam a ser substituidas pela string "[removed]".  Fiz ainda alguns testes com a tool OWASP ZAP para ver...