ClsHack:Computer Security Blog    

XSSer é atualizado para a versão 1.6 :)

A partir do site oficial:

Cross-site “Scripter” é um quadro-automático- para detectar, explorar e reportar vulnerabilidades XSS em web-based applications.It contém várias opções para tentar driblar os filtros de certos, e várias técnicas especiais de injeção de código.

Esta versão foi adicionada para contornar os filtros também PHPIDS, foram corrigidos alguns bugs e melhorar o desempenho :)

Em backbox ou distribuição debian outra base pode ser feita pelo pacote deb installazzione, caso contrário instalalre xsser é muito simples :)
Baixe a última versão, digitando svn:
(mais…)

Na Defcon 18(DEF CON ® Conferência Hacking) falamos sobre SHODAN,que nada mais é que um motor de busca, Mas muito diferente do habitual, bing google,yahoo ecc.

Com SHODAN, Nós podemos filtrar os resultados leva a, para o servidor, por continente,procurar senhas… Aplicações Web “velho”,roteador,FTP e mais…procurando respostas no servidor dá-nos, por exemplo “Servidor: iis 5″
A partir do site oficial:

SHODAN é um motor de busca de computador. Mas é diferente de qualquer outro mecanismo de busca. Enquanto outros motores de busca vasculham a web de conteúdo, Scans Shodan para obter informações sobre os locais próprios. O resultado é um motor de busca que agrega banners de serviços bastante conhecidos. Esta apresentação irá focar as aplicações de SHODAN para testadores de penetração, e em detalhe vontade particular uma série de estudos de casos demonstrando a análise da vulnerabilidade passivo incluindo senhas padrão, banners descritivos, e pwnage completo. Para os testadores de penetração, SHODAN é uma mudança de jogo, e uma mina de ouro de potenciais vulnerabilidades.

Michael Schearer (“theprez98″) é um contratado do governo que passou quase nove anos na Marinha dos Estados Unidos como um EA-6B Prowler combate experiente Eletrônico Diretor de Contramedidas. Ele também passou nove meses no chão fazendo contra-IED trabalho com os EUA. Exército. Ele é graduado pela Universidade de Georgetown Nacional do Programa de Estudos de Segurança e um apresentador anterior na DEFCON, e falou em ShmooCon, ESPERANÇA e internacionalmente no Confiança (Polônia) e HackCon (Noruega) , bem como outras numerosas conferências. Michael é um operador de rádio amador licenciado e membro ativo da Igreja de WiFi. Ele vive em Maryland com sua esposa e quatro filhos.

Mesmo com google, como você sabe que você pode filtrar os resultados pelo famoso dork .

Por exemplo, se tentarmos google o.o:
inurl:"password" filetype:xls
Bem, nós mergulhar fora Mediaset senha, megaupload,rapidshare,tim,vodafone,Aruba e outras tretas :D que o nosso amigo Google indexa.
(mais…)

Ele’ 10 dias que eu tenho a febre não vai merda de porco mais de aaaaaaaaa aaaaaaaa ok, eu sou merda quente.

Eles dizem que o relatório de bug, respondem bem:

Um, É verdade, é um bug, mas não sabemos como fazer o patch.. Você tem alguma sugestão?

Estamos falando de segurança do Google, Eu acho que não são idiotas.

Mas, francamente não são muito preocupados com segurança.

Um par de anos atrás ", Tomada mal, tem mostrado que a carga de igoogle Gadgets feita ad hoc, você pode assumir o controle do navegador da vítima.

Mal, foi apenas um alerta(document.cookie), mas se ele tivesse inserido o script como carne ?o.O

Tudo isso porque o Google não controla utilizador enviou em Gadgets.

Por outro lado, não pode mesmo verificar manualmente os muitos gadgets que são enviados diariamente.

Este problema também se aplica às extensões do Firefox ou Google Chrome, onde eles encontraram um verme.
(mais…)

ATUALIZADO.

Como você sabe, crômio, é a versão original do google chrome.

Se você não tiver instalado, Eu recomendo, imediatamente, visto o desempenho:
Instale Chromium no Ubuntu e derivados

Crômio, como o mesmo cromo oppure firefox, armazena a história, bookmark, alimentação bookmarks, configurações, etc no banco de dados SQL Lite arquivo.

Adicionar, remover,cria e elimina, significa que essas tabelas se tornar muito lento !!!

Hoje para abrir uma nova guia para me levar 30 segundo :(
(mais…)

Coleta de Informações, ou como reunir informações de sistemas remotos e.
Esta fase, é muito útil em uma abordagem por exemplo, com o teste de penetração-.

Digamos que antes de atacar, precisa saber “O que está por trás”, e nesta fase que nos permite reunir uma riqueza de informações, vir e-mail, números de telefone, ou outro útil também para a realização de um ataque sociais.

Em BackTrack, são colocados nesta categoria, Software Números, Eu, eu selecionei alguns.
Eu não estou dizendo que os outros não vão bem, mais , mas eu não posso falar sobre 30 ferramenta :D

• theHarvester, E-mail, Nomes de usuário e Subdomínio / Hostnames finder[Presente no backtrack]
• Maltego 2[Presente no backtrack]
• Digitalização Domínio Fierce
• httprint é uma ferramenta web servidor de impressão digital. [Presente no backtrack]
• DirBuster

Começamos a partir do primeiro: theHarvester, E-mail, Nomes de usuário e Subdomínio / Hostnames finder.

Esta simples ferramenta, python encontrado no backtrack, com o nome de goog email enum.

Esta ferramenta, a partir da descrição, permite encontrar:

• E-mail;
• Os nomes de usuário;
• Subdomínio / Hostnames;

Aproveitando google, ou outros serviços de busca como o linklin ou bing ;)
Vamos ver como usá-lo.
Eu coloquei o pacote no meu site para facilitar qualquer mudança de endereço ;)
Abrimos o nosso console :D
wget http://www.clshack.com/nopaste/theHarvester-1.6.tar
tar -xvf theHar*.tar
cd theH*
Bem, agora nós digitamos, Sex un facilitar:
python theHarvester.py
Exemplo:
python theHarvester.py -d SITO_DA_CERCARE -l 100 -b bing
Eu usei do Bing, porque eu sei que sou obrigado a captcha google, Eu encontrei nenhum ser humano :)
(mais…)