ClsHack:Computer Security Blog    

XSSer se actualiza a la versión 1.6 :)

Desde el sitio web oficial:

Cross Site “Scripter” es un marco automático-- para detectar, explotar y reportar las vulnerabilidades XSS en la web applications.It contiene varias opciones para tratar de eludir los filtros de ciertos, y diversas técnicas especiales de inyección de código.

Esta versión se ha añadido para evitar los filtros también PHPIDS, se han corregido algunos bugs y mejorar el rendimiento :)

En la caja de montaje u otra distribución basada en Debian se puede hacer con el paquete deb installazzione, de lo contrario instalalre xsser es muy simple :)
Descargue la versión más reciente al escribir svn:
(más…)

En Defcon 18(DEF CON ® Conferencia de Hacking) hablamos de SHODAN,que no es sino un motor de búsqueda, Sin embargo, muy diferente de la habitual, bing google,yahoo ECC.

Con SHODAN, Podemos filtrar los resultados conduce a, para server, por continente,ver las contraseñas… Aplicaciones web “viejo”,enrutador,FTP y mucho más…en busca de respuestas en el servidor nos da, por ejemplo, “Servidor: IIS 5″
Desde el sitio web oficial:

SHODAN es un motor de búsqueda en la computadora. Sin embargo, es diferente a cualquier otro motor de búsqueda. Mientras que otros motores de búsqueda para buscar en la web de contenido, Shodan exploraciones para obtener información sobre los mismos sitios. El resultado es un motor de búsqueda que agrega banderas de los servicios conocidos. Esta presentación se centrará en las aplicaciones de Shodan a los probadores de penetración, y en detalle la voluntad particular, una serie de estudios de caso que demuestra el análisis de vulnerabilidad pasiva incluidas las contraseñas por defecto, banderas descriptivos, y completa pwnage. Para pruebas de penetración, SHODAN es un cambio de juego, y una mina de oro de las posibles vulnerabilidades.

Michael Shearer (“theprez98″) es un contratista del gobierno, que pasó casi nueve años en la Marina de los Estados Unidos como una experiencia de combate-EA-6B Prowler Oficial de contramedidas electrónicas. También pasó nueve meses en el suelo haciendo contra-IED trabajo con los EE.UU.. Ejército. Él es un graduado de la Universidad de Georgetown Nacional de Seguridad Programa de Estudios y un presentador anterior en DEFCON, y ha hablado en ShmooCon, ESPERANZA e internacional en la confianza (Polonia) y HackCon (Noruega) así como otras numerosas conferencias. Michael es un operador con licencia de radioaficionado y un miembro activo de la Iglesia de Wi-Fi. Él vive en Maryland con su esposa y sus cuatro hijos.

Incluso con Google, como sabes que puedes filtrar los resultados por el famoso dork .

Por ejemplo, si tratamos de google o.o:
inurl:"password" filetype:xls
Bueno, nos lanzamos fuera de Mediaset contraseña, megaupload,rapidshare,Tim,Vodafone,Aruba y otra mierda :D que nuestro amigo google índices.
(más…)

Lo’ 10 días que tengo la fiebre no la mierda de cerdo de mierda más de aaaaaaaaa aaaaaaaa ok, estoy hot shit.

Dicen que el informe de error, responden bien:

Uno, Es cierto, es un error, pero no sabemos cómo aplicar el parche.. Tiene usted alguna sugerencia?

Estamos hablando de seguridad de Google, Yo creo que no son idiotas.

Pero, francamente, no son muy conscientes de la seguridad.

Un par de años atrás ", evilsocket, ha demostrado que la carga de iGoogle Gadgets Fatto ad hoc, usted puede tomar el control del navegador de la víctima.

Mal, era sólo una alerta(document.cookie), pero si él había insertado la secuencia de comandos como carne de res ?O. El

Todo esto debido a que Google no controla el usuario subido el Gadgets.

Por otro lado ni siquiera pueden comprobar manualmente los muchos gadgets que se cargan todos los días.

Este problema también se aplica a las extensiones de Firefox o Google Chrome, donde encontraron un gusano.
(más…)

ACTUALIZADO.

Como ustedes saben, cromo, es la versión original de Google Chrome.

Si usted no ha instalado, Se lo recomiendo, inmediatamente, visto el rendimiento:

Cromo, como el mismo cromo oppure firefox, almacena la historia, marcador, marcadores de alimentación, configuración, etc, en la base de datos SQL Lite archivo.

Añadir, quitar,crea y elimina, significa que estas tablas se vuelven muy lento !!!

Hoy para abrir una nueva pestaña para que me llevara 30 segundo :(
(más…)

Recopilación de información, o cómo obtener información de los sistemas remotos y.
Esta fase, es muy útil en un método por ejemplo con el la penetración de la prueba.

Digamos que antes de atacar, necesita saber “¿Qué hay detrás”, y esta etapa nos permite reunir una gran cantidad de información, vienen de correo electrónico, los números de teléfono, o de otro tipo útil también para llevar a cabo un ataque sociales.

En BackTrack, se colocan en esta categoría, Números de Software, Yo, he seleccionado algunos.
No estoy diciendo que los demás no van bien, más bien , pero no se puede hablar de 30 herramienta :D

• theHarvester, E-mail, Los nombres de usuario y Subdominio / Buscador de nombres de host[Presente en la marcha atrás]
• Maltego 2[Presente en la marcha atrás]
• Exploración de dominio feroz
• httprint es un servidor web herramienta de toma de huellas dactilares. [Presente en la marcha atrás]
• DirBuster

Partimos de la primera: theHarvester, E-mail, Los nombres de usuario y Subdominio / Buscador de nombres de host.

Esta sencilla herramienta, Scritto en python Presente en la marcha atrás, con el nombre de goog correo electrónico enum.

Questo herramienta de, a partir de la descripción, permite encontrar:

• E-mail;
• Los nombres de usuario;
• Subdominio / nombres de host;

Aprovechando Google, u otros servicios de búsqueda como linklin o Bing ;)
Vamos a ver cómo usarlo.
Puse el paquete en mi sitio web para facilitar cualquier cambio de domicilio ;)
Abrimos nuestra consola :D
wget http://www.clshack.com/nopaste/theHarvester-1.6.tar
tar -xvf theHar*.tar
cd theH*
Bueno, ahora nos escriba, por la ayuda de las Naciones Unidas:
python theHarvester.py
Ejemplo:
python theHarvester.py -d SITO_DA_CERCARE -l 100 -b bing
Ho usato bing, porque sé que me requiere el captcha google, He encontrado ningún ser humano :)
(más…)