- Wagner Elias – Think Security First - http://wagnerelias.com -
Cross Build Injection
Posted By Elias Wagner On 26 26UTC November, 2007 @ 11:44 am In Security Developer | No Comments
Em Setembro deste ano a fortify publicou um paper [1] sobre um ataque intitulado Cross-Build Injection. O ataque consiste basicamente na alteração ou inclusão de códigos no próprio repositório onde são gerados os builds. Não me parece nada novo, porém fica como ponto de atenção.
Mitigar o risco relacionado a este tipo de ataque é simples e bastante usual por muitos repositórios mas, imagine quantos repositórios não possuem o menor controle? Com uma ferramenta de brute-force como o medusa [2] (semelhante ao THC-Hydra descontinuado) que suporta quebra de senhas de repositórios CVS, pode-se conseguir acesso ao repositório e ir a farra.
Article printed from Wagner Elias – Think Security First: http://wagnerelias.com
URL to article: http://wagnerelias.com/2007/11/26/cross-build-injection/
URLs in this post:
[1] publicou um paper: http://www.fortifysoftware.com/servlet/downloads/public/fortify_attacking_the_build.pdf
[2] medusa: http://www.foofus.net/jmk/medusa/medusa-cvs.html
Click here to print.
Copyright © 2007 Wagner Elias - Think Security First | BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer. All rights reserved.