October 31, 2024
A CVE-2006-3392[1] é uma vulnerabilidade de path traversal[3] identificada no Webmin[2], um sistema de configuração web para sistemas Unix-like, que afeta versões anteriores à 1.290. Essa falha ocorre devido à chamada da função `simplify_path` antes da decodificação de HTML. Através da construção de uma sequência de bytes de “..%01”, o atacante consegue bypassar a remoção das sequências de “../“ à esquerda de certos bytes (ex., “%01”), permitindo que o atacante leia o conteúdo de arquivos internos do servidor sem autenticação. A vulnerabilidade foi publicada por Kenny Chen em 30 de Junho de 2006.
September 16, 2024
Ensuring code security before it reaches production is essential. However, achieving this requires solutions that seamlessly integrate into the continuous integration and development process. As the complexity of applications grows and the urge for faster responses rises, the Shift Left approach becomes critical, shifting security to the earlier stages of the development cycle. In this article, we introduce and explore the concept of Security Gates, inspired by Quality Gates and aligned with the Shift Left methodology. We also present Security Gate, a practical solution that uses GitHub Actions to monitor repositories and enforce security measures by blocking the pipeline based on security alerts. We explore how this tool can be configured to serve as an effective security gate, aiming for the continuous security of the repository or project.
September 10, 2024
The CVE-2023-29489[1] refers to a reflected Cross-Site Scripting (XSS)[2] vulnerability identified in the cPanel[3] web hosting control panel software, which is widely used on the web. The XSS vulnerability allows an attacker to execute malicious scripts on a page being accessed by other users. The attacker does not need to be authenticated in order to do that.
September 02, 2024
Garantir a segurança do código antes de chegar à produção é crucial. No entanto, isso exige a implementação de soluções que realmente se integrem ao fluxo contínuo de integração e desenvolvimento. Com a crescente complexidade das aplicações e a necessidade de respostas rápidas, a abordagem de Shift Left se torna indispensável, movendo a segurança para as fases iniciais do ciclo de desenvolvimento. Neste artigo, apresentamos e exploramos o conceito de Security Gates, inspirado em Quality Gates e alinhado com a abordagem Shift Left, e apresentamos também o Security Gate, uma solução prática que utiliza GitHub Actions para monitorar o repositório e bloquear a pipeline com base em alertas de segurança. Exploramos como essa ferramenta pode ser configurada para funcionar como um gate de segurança eficaz, visando a segurança contínua do repositório/projeto.
May 14, 2024
A CVE-2023-29489[1] trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS)[2] refletido identificada no software de painel de controle de hospedagem cPanel[3], amplamente utilizado na web. A vulnerabilidade XSS permite que um atacante execute scripts maliciosos em uma página que está sendo acessada por outros usuários. O atacante não precisa estar autenticado.