.:: Securnetwork.net Blog – Massimo Rabbi ::.

LinkedIn, come molti di voi sapranno, è un social network molto diffuso che consente di costruire la propria rete di contatti in ambito lavorativo (fondamentalmente).
Quello di cui voglio parlare oggi è un piccolo problema che ho riscontrato in mattinata mentre mi apprestavo a cambiare la password del mio account.
Dopo aver generato la nuova password di lunghezza 24 caratteri ho effettuato il logout e poi ho tentato il login che verificare tutto fosse avvenuto correttamente.

Stranamente ho notato l’errore:

The email address or password you provided does not match our records

Dopo i classici tentativi di reinserire la password e cancellazione di cache e cookie, ho pensato ci fosse qualcosa non andasse.
Leggi il resto dell’articolo »

Sull’argomento “chat di facebook” si potrebbero scrivere post a bizzeffe, discutendo di quanto faccia schifo, di come si perda i messaggi e quant’altro.
Quello che mi interessa oggi è puntare l’attenzione sul come integrare nel noto cliente IM Pidgin (ex GAIM), la chat del noto social-network, evitando di tenere aperta la pagina web per l’eventuale chat con i nostri contatti.

Le considerazioni di questo post riguardano l’attuale versione di Ubuntu 9.04 (Jaunty Jackalope) installata sul mio pc desktop, ma penso possano essere applicate tranquillamente alla più recente 9.10.
In particolare quello che ci serve è prelevare direttamente dal sito del progetto pidgin-facebookchat l’ultima versione, nel mio caso la 1.63.
E’ necessario inoltre procurarsi il .deb della libreria libjson-glib-1.0-0: pidgin-facebookchat infatti richiede una versione >= 0.7.6.
Quest’ultimo è disponibile direttamente da qui:
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_i386.deb
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_amd64.deb

Una volta installati entrambi i .deb e creato l’apposito account da Pidgin sarà possibile sfruttare la chat dal nostro programma di instant messaging preferito.
Le versioni di pidgin-facebookchat e libjson-glib-1.0-0 disponibile sui repository ufficiali e accessibili ad esempio da “Sistema->Amministrazione->Gestore pacchetti” sono datati.
Personalmente tempo addietro ho avuto modo di provarli e ho notato parecchi problemi.
Buona chat dunque!

Il security provider Secunia ha individuato nei giorni scorsi una vulnerabilità piuttosto critica nell’estensione Wikipedia Toolbar per Firefox, che può essere usata da un potenziale attaccante per compromettere il sistema dell’utente vittima.

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

Google ha rilasciato un update di sicurezza per la versione 3 di Chrome. La nuova versione del browser WebKit-based è la 3.0.195.24.
Il bug corretto riguarda l’implementazione della funzione dtoa() utilizzata dal motore JavaScript V8 di Chrome per parsare le stringhe in numeri floating point.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

Gli sviluppatori del linguaggio di programmazione PHP hanno rilasciato un update che porta l’ultima release alla versione 5.2.11.
L’aggiornamento si focalizza sulla stabilità apportando più di 75 bug fix, alcuni legati alla sicurezza.

Il team di sviluppo ha fixato la validazione certificati in php_openssl_apply_verification_policy e aggiunto dei sanity check in imagecolortransparent() e nel codice di processing dei file EXIF (Exchangeable Image File Format).
I dettagli completi sono visibili alla pagina delle Release notes.

A poco più di un anno dal lancio di Google Chrome, era il 2 settembre 2008, il gigante di Mountain View ha annunciato il rilascio della versione 3 contenente numerosi bug fixes, miglioramenti e nuove funzionalità.

Secondo un post pubblicato sul blog ufficiale di Google, le performance Javascript sono state migliorate del 150% rispetto alla prima beta e di ben il 25% rispetto all’ultima stable release: tutto questo grazie agli aggiornamenti al motore Javascript V8.

La release include una nuova pagina “New Tab” riprogettata per essere personalizzabile secondo le preferenze dell’utente e customizzabili nel look-and-feel mediante il supporto built-in per i temi.
La barra degli indirizzi “Omnibox” utilizza ora icone diverse per distinguere azioni come la ricerca, bookmarks e pagine precedentemente visitate.
Il nuovo Google Chrome 3.0 inoltre introduce nuove caratteristiche HTML 5, gli elementi <audio> e <video>.

Questa ultima release inoltre corregge un problema di sicurezza riguardante i contenuti dei feed RSS o Atom, onde prevenire i tentativi di injection di codice Javascript e attacchi cross-site scripting (XSS).
La versione è disponibile in 50 lingue differenti per i sistemi operativi Windows XP e Vista.

Ancora da rilasciare invece una versione stabile per Chrome su sistemi Linux e Mac OS X.
L’ultima versione rilasciata circa una settimana fa attraverso il Developer Channel è la 4.0.207.0, e corregge alcuni bug oltre a fixare un problema di XSS.

Stando alla roadmap pubblicata sul wiki di Mozilla la nuova major release del noto browser open source Firefox non vedrà la luce prima dell’ultimo trimestre del 2010.

Sembra infatti che la versione Firefox 4.0 sarà rilasciata ad ottobre o novembre del prossimo anno.

Nel frattempo compariranno le minor release 3.6 e 3.7 previste rispettivamente per la fine di quest’anno e l’inizio/metà del prossimo.

Già all’inizio di questa estate erano stati annunciati alcuni dei cambiamenti all’interfaccia di Firefox che interverranno in occasione della major release.

Leggi il resto dell’articolo »

A quanto pare in questi ultimi giorni si stanno registrando ondate di attacchi che prendono di mira web applications scritte con ColdFusion (CFML).
I ricercatori del SANS hanno ricevuto infatti notifiche di intrusioni che riguardano l’exploiting di vulnerabilità presenti in vecchie versioni di ColdFusion.
In particolare il problema interessa due componenti delle applicazioni ColdFusion: l’editor di testo FCKEditor e il filemanager CKFinder. Una volta compromessa l’applicazione, gli attaccanti hanno pieno controllo sulla macchina server.
Bojan Zdrnja, ricercatore presso il SANS, fa sapere che le pagine web compromesse tipicamente riportano all’interno del codice html tag <script> che fanno puntare a siti web contenenti ogni sorta di malware, pronto per essere scaricato/installato al fine di sfruttare eventuali vulnerabilità sulle macchine degli utenti.

Il consiglio è quindi quello di verificare le installazioni ColdFusion esistenti ed eventualmente patchare i sistemi. Gli amministratori dovrebbero anche controllare l’eventuale presenza di applicazioni ColdFusion “vecchie” e mai disinstallate: anche queste potrebbero essere un potenziale target degli attacchi.

Sulla homepage del noto opensource webmailer Squirrelmail, campeggia il messaggio che informa dell’avvenuto cracking al webserver del progetto in data 16 giugno.
A seguito dell’accaduto gli amministratori hanno sospeso tutti gli accounts e resettato tutte le password più cruciali.
Disabilitato anche l’accesso al server originale e a tutti i plug-ins: si tratta di una misura precauzionale finchè non si sarà certi che nessuno di questi sia stato compromesso a livello di codice.
Ancora sconosciute restano le modalità con cui i crackers hanno avuto accesso al sistema.
Fortunamente il codice sorgente di SquirrelMail non è a rischio visto che è localizzato su un server completamente diverso.
Tuttavia i phishers hanno approfittato dell’accaduto cominciando una campagna di spam mirata.
Nelle mail infatti si millanta che le versioni 1.4.11, 1.4.12 e 1.4.13 sono state compromesse dall’introduzione di una backdoor, consigliando cosi’ agli utenti di passare alla 1.4.15.
Ecco il contenuto del messaggio:
“Due to the package compromise of 1.4.11,1.4.12 and 1.4.13, we are forced to release 1.4.15 to ensure no confusions.
While initial review didn’t uncover a need for concern, several proof of concepts show that the package
alterations introduce a high risk security issue, allowing remote inclusion of files.
These changes would allow a remote user the ability to execute exploit code on a victim machine,
without any user interaction on the victim’s server. This could grant the attacker the ability to
deploy further code on the victim’s server.
We STRONGLY advise all users of 1.4.11, 1.4.12 and 1.4.13 upgrade immediately.”

L’email contiene naturalmente un link che porta ad una pagina di login SquirrelMail contraffatta.
Va chiarito tuttavia che la versione attuale è la 1.4.19 e come detto sopra non ci sono possibilità che il codice sorgente sia stato manipolato.

RIFERIMENTI:
– SquirrelMail open source project’s web server hacked, by Heise Security

L’esperto di sicurezza Robert “RSnake” Hansen ha rilasciato un tool in grado di mettere ko anche i web server più “grossi” usando un semplice PC connesso a Internet.
“Slowloris” non sfrutta particolari vulnerabilità, ma utilizza invece una feature del protocollo HTTP nota come “richieste HTTP parziali”.
I client infatti non sono costretti a forwardare l’intero contenuto di una GET o una POST in un solo passaggio, possono suddividerlo in un certo numero di query HTTP.

A seconda di come è configurato il web server, la prima richiesta può quindi fare in modo che vengano mantenute delle risorse per la response in attesa che venga completata l’intera request.
I web server vulnerabili a questa sorta di “freno a mano” remoto sono stranamente proprio quelli che implementano strategie per evitare gli overload, per esempio, consentendo solo un determinato numero di richieste HTTP parallele.
Stando a quanto dichiarato da Hansen fra questi Apache Server 1.x e 2.x, dhttpd, GoAhead WebServer e Squid. Non vulnerabili al problema IIS6.0, IIS7.0 e lighttpd.
I web server possono essere protetti mediante l’utilizzo di load balancers come Perlbal o web applications firewall che forwardino in maniera completa le richieste HTTP al server.
In caso di attacchi improvvisi, il problema può essere “mitigato”, semplicemente riducendo il parametro di time-out per le richieste http.

RIFERIMENTI:
* Remote handbrake for web servers by Heise Security
* Slowloris HTTP DoS, an explanation of the Slowloris concept from RSnake.

L’esperto di sicurezza Aviv Raff ha nominato il mese di luglio come “Month of Twitter Bugs” (MoTB).
Lo scopo è quello di pubblicare i dettagli di una vulnerabilità al giorno, legata all’uso delle API di Twitter.
Le API consentono ai normali utenti di configurare, gestire e interrogare lo stato del proprio account mediante richieste http.
Raff ha infatti già fatto notare come sia possibile sfruttare le API che interrogano twitpic.com (servizio immagini di Twitter) per diffondere worms.

Volendo essere precisi non ci sono vere e proprie vulnerabilità nelle API di Twitter: si tratta invece di implementazioni errate o poco attente delle API di querying da parte di terzi.
Raff afferma di aver già individuato un numero di bug nei servizi di terze parti (che usano le API Twitter) tale da “riempire” tutto il mese di segnalazioni.
Detto questo è comunque disponibile a ricevere notifiche da parte di qualunque sviluppatore o appassionato che abbia scoperto qualche falla.
Lo scopo dell’iniziativa è sensibilizzare circa i potenziali problemi derivanti da uso non accorto delle API Twitter, ma in generale di API Web 2.0 generiche.
Vista comunque la possibilità di diffondere worms utilizzando queste vulnerabilità Raff ha deciso di dare 24 ore di “pre-avviso” agli operatori Twitter e sviluppatori interessati ogni qualvolta verrà rilasciato un report.
Bisognerà vedere se i fix riusciranno ad essere rilasciati in così poco tempo.

Il “Month of Twitter Bugs” prosegue la serie di iniziative simili che ha visto in precedenza i vari”Month of Browser Bugs”, “Month of Apple Bugs”, “Month of PHP Bugs” e “Month of Kernel Bugs”.
Il “Month of Java Bugs” si è invece rivelato, almeno per ora, un pesce d’aprile.

FONTE: July to be the “Month of Twitter Bugs” by Heise Security

Per tutti gli appassionati di Web Application Security, segnalo questo blog che ha aperto i battenti giusto la settimana scorsa.
Si tratta del SANS Web Application Security blog: http://blog.appsecstreetfighter.com/
Gli autori sono Johannes Ullrich and Jason Lam, gestori dell’ISC (Internet Storm Center), oltre ad altri istruttori certificati SANS.

SourceForge, uno tra i piu’ famosi hoster per progetti opensource, ha rimosso dal proprio network le pagine riguardanti il software di stream-recording rtmpdump.
Tutto questo a seguito dell’ultimatum di Adobe, che era già pronta a passare alle vie legali.
Il programma utilizza il Real-Time Messaging Protocolo (RTMP) per registrare non solo semplici media Flash, ma anche stream criptati.
Adobe ha aggiunto un sistema di crittografia al proprio protocollo proprietario con l’introduzione di Flash Media Server 3, al fine di impedire la registrazione e il download “selvaggio” dei contenuti flash.
Il protocollo RTMPE (RMTP encrypted) è stato ideato proprio a questo scopo.

Dopo essersi accorta che la sua protezione può essere scavalcata dal supporto RTMPE integrato in rtmpdump, ha fatto partire un avviso “cease-and-desist”, invocando il Digital Millennium Copyright Act (DMCA) per impedire la distribuzione del software.
Una analisi del RTMPE pubblicata di recente giunge alla conclusione che, nonostante l’algoritmo utilizzi un modello di sicurezza end-to-end simile al protocollo SSL, a differenza di questo non fornisce alcuna sicurezza o autenticazione di sorta.
Non viene utilizzata da nessuna parte una chiave segreta, una password o una pass-phrase per cifrare/decifrare il contenuto.
Il processo di verifica necessita semplicemente dell’SWFHash (hash di 32 bytes), della dimensione del file SWF, e degli ultimi 32 bytes della prima risposta del server.
Alla luce di questo sembra alquanto strano che Adobe invochi il DMCA per classificare questa situazione come un tentativo di aggirare un meccanismo di protezione delle copie.

Di certo tutto ciò non pone in buona luce Adobe di fronte ai suoi clienti,network televisivi e studios cinematografici in primis.
L’uso del protocollo RTMPE per la distribuzione di contenuti DRM-protected è diventato sempre più diffuso infatti.
Nel contempo si segnala flvstreamer, una versione “ridotta” di rtmpdump, che non include il supporto RTMPE.

RIFERIMENTI:
Adobe acts against Flash video stream recorder, by Heise OpenSource

All’ultima conferenza OWASP, gli esperti di sicurezza italiani Luca Carettoni e Stefano Di Paola hanno dimostrato un nuovo modo di manipolare le web applications e ingannare i classici meccanismi di sicurezza: HTTP Parameter Pollution (HPP).
Questa forma di attacco consiste nell’inviare parametri in GET o POST in forma o ordine “anomalo”, o usando caratteri delimitatori strani.
Una richiesta del tipo:
GET /foo?par1=val1&par2=val2 HTTP/1.1
verrà processata in maniera classica, mentre questa:
GET /foo?par1=val1&par1=val2 HTTP/1.1
con due occorrenze dello stesso parametro par1 è suscettibile a varie interpretazioni, a seconda della routine di parsing dell’application/web server destinatario.

Stando a Carettoni e Di Paola, questo può causare comportamenti anomali e indesiderati, oltre a prestarsi a potenziali attacchi di sicurezza.
Gli stessi WAFs (Web Application Firewalls) e i moduli di sicurezza dei server sarebbero vulnerabili ad attacchi di tipo HPP.
Mentre il modulo Apache’s ModSecurity è infatti in grado di riconoscere un attacco SQL-injection come questo:
/index.aspx?page=select 1,2,3 from table where id=1
non è in grado di inviduare quest’altro:
/index.aspx?page=select 1&page=2,3 from table where id=1
La tecnica HPP potrebbe altresì essere usata per lanciare attacchi di tipo Cross-Site-Scripting (XSS) a danno dei vari web browsers.
Il filtro anti-XSS di Internet Explorer 8 è infatti tra i componenti vulnerabili.

Carettoni e Di Paola come “rimedio” consigliano un filtering appropriato e rigoroso dei parametri oltre all’uso dell’URL encoding. Suggerito anche l’uso di un URL rewriting che utilizzi espressioni regolari “sicure”.

RIFERIMENTI:
- New type of attack on web applications: Parameter Pollution, by Heise Security

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
– Security Update for SquirrelMail, by Heise Security

Secondo quanto riportato sul wiki di Mozilla, le prossime versioni di Firefox utilizzeranno due processi distinti per interfaccia grafica e gestione dei contenuti web delle pagine.
A differenza di Google Chrome e Internet Explorer 8, i tab non avranno processi dedicati: questa modifica è “prevista” molto più avanti nel tempo.

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
- Future Firefox to run separate processes, by Heise Open Source

Twitter ha definitivamente confermato che si è verificato un accesso non autorizzato alla sua interfaccia amministrativa.
Il blog francese Korben ha pubblicato gli screen-shots in cui vengono mostrati i dettagli degli account appartenenti a Ashton Kutcher, Lily Allen, Britney Spears e Barack Obama.
Nelle immagini si vedono statistiche di accesso, indirizzi email, block lists ma non le password.

Stando a quando dichiarato da Graham Cluley di Sophos, il cracker avrebbe avuto accesso all’interfaccia di admin dopo aver indovinato la “domanda segreta” dell’account email di un impiegato di Twitter.
Questo gli ha cosi’ consentito di resettare la password e di individuare le credenziali di login dell’impiegato nella casella di posta.
Twitter afferma, dopo aver esaminato l’accaduto, che solamente dieci account personali sono stati “violati”. In ogni caso non sono state modificate le password o consultati i messaggi personali.
Verrà ora condotto un audit più approfondito di tutti i sistemi interni e verranno adottate ulteriori misure di sicurezza contro tentativi di intrusione.

RIFERIMENTI:
- Twitter vu de l’intérieur – Interface admin piratée !, Korben blog
- Twitter confirms security breach, by Heise Security

Felix Leder e Tillmann Werner dell’università di Bonn hanno analizzato il worm Conficker e hanno scoperto che cambia il modo in cui Windows risponde ad alcune chiamate di sistema.
Questa caratteristica puo’ quindi essere sfrutta per individuare in maniera remota i sistemi che sono stati infettati dal worm.

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

Mozilla ha rilasciato la versione 3.0.8 di Firefox.
L’aggiornamento, annunciato martedi’, era previsto per la settimana prossima, ma il pericolosissimo bug scoperto nei giorni scorsi (e relativo exploit) ha costretto a rilasciare in anticipo l’update.

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
- Firefox 3.0.8 now available, by Heise Security

Hewlett-Packard ha reso disponibile un tool free per individuare problemi di sicurezza nelle applicazioni Flash.
SWFScan è infatti un tool per sistemi Windows dedicato a tutti quegli sviluppatori Flash interessati a rendere più sicure le proprie realizzazioni in Flash.

Il software una volta preso in input l’SWF da analizzare è in grado di decompilare il bytecode ActionScript 2/3 in codice sorgente originale, permettendone la scansione, alla ricerca di oltre 60 vulnerabilità conosciute.
Il tool è in grado di controllare svariati tipi di vulnerabilità, inclusi problemi di escalation di privilegi cross-domain, cross-site scripting (XSS) e altri leak nella sicurezza di informazioni confidenziali.
A tutto questo si aggiunge un check con le “best practices” di Adobe in fatto di sicurezza.

Stando a quanto riferito da Billy Hoffman, manager dell’HP Web Security Research Group, durante la fase di testing, gli autori hanno scaricato e scansionato col tool oltre 4000 applicazioni Flash in giro per la rete.
All’incirca il 35% di queste viola alcune delle security best practices di Adobe.
Dati sensibili come chiavi di crittazione, username e password sono spesso memorizzate nel codice Flash client-side.
Inoltre su 250 applicazioni con un form di login, ben il 15% conteneva username e password hard-coded.
E’ disponibile un video che dimostra come questi tipi di vulnerabilità in applicativi Flash possono essere sfruttati.

Il tool supporta tutte le versioni pubbliche di Flash e include delle funzionalità in grado di identificare e evidenziare pratiche di programmazione non sicura, suggerendo di volta in volta le best practices.
SWFScan consente agli sviluppatori di fare auditing anche su applicazioni di terze parti, senza avere accesso ai sorgenti originali.
Maggiori informazioni si possono trovare sulla pagina delle FAQ di SWFScan.

RIFERIMENTI:
- HP publishes free security tool for Flash developers, by Heise Security
- Creating more secure SWF web applications, report from Adobe.