samedi 20 octobre 2007

Programas para sql injection

O SQL Injection é uma falha de programação comumente cometida entre desenvolvedores que estão começando a desenvolver sistemas e não têm uma noção muito boa sobre segurança.
Essa falha permite que o atacante faça login como administrador sem nem saber o nome do usuário ou sua senha, permite que se insiram dados nas tabelas utilizadas pelo site ou até que se delete completamente uma tabela ou banco de dados de um site sem nem mesmo precisar fazer o login.
Como se pode ver, é uma falha extremamente séria e bem conhecida pelos atacantes. Por isso, sempre testar os seus sistemas web para verificar a existência de tais falhas é o mínimo antes de disponibilizar o serviço na Internet.
O site Security Hacks publicou uma lista mostrando as principais ferramentas utilizadas para automatizar os testes de SQL Injection em seus sistemas. Devido á criticidade desse tipo de falha, é sempre bom contar com ferramentas que automatizem e alertem sobre tais falhas para você não ter mais problemas futuros.

Abaixo, mostro os softwares sugeridos pelo site e traduzo algumas partes dos comentários:

* SQLIer: O SQLIer pega uma URL vulnerável e tenta pegar todas as informações que precisa para poder explorar a falha. Não precisando de qualquer interação do usuário. Você pode fazer o download aqui.

http://bcable.net/archive.php?sqlier-0.8.2b.sh

http://bcable.net/archive.php?sqlier-0.8.1b.sh

http://bcable.net/archive.php?sqlier-0.8b.sh

http://bcable.net/archive.php?sqlier-0.1.1a.sh

http://bcable.net/archive.php?sqlier-0.1a.sh

* SQLbftools: É um conjunto de ferramentas especializada em MySQL. Tentam pegar informações do BD utilizando Blind SQL Injection. Pode ser encontrado aqui.
http://www.reversing.org/files/releases/sqlbftools-1.2.tar.gz

* SQL Injection Brute-forcer: Automatiza a detecção e o ataque à vulnerabilidade de SQL Injection. Consegue testar também o Blind SQL Injection. Funciona fazendo operações lógicas simples SQL para determinar qual o nível de exposição de determinado sistema web. Faça o download aqui.
http://www.open-labs.org/sqlibf19beta1.tar.gz

SQLBrute: Utiliza brute force para conseguir dados de BD utilizando Blind SQL Injection. Suporta SQL Server e Oracle. É escrito em Python, é multi-threaded e não faz uso de qualquer biblioteca especial. Faça o download aqui.
http://www.justinclarke.com/security/sqlbrute.py

* BobCat: Ajuda o auditor a tirar vantagem total de todas as vulnerabilidades de SQL Injection. É baseado em uma pesquisa feita pela AppSecInc. Consegue listar os servidores, o schema do DB e permite ao usuário conseguir acesso a todos os dados aos quais o usuário atual utilizado pelo site tem acesso

* SQLMap: Ferramenta que explora vulnerabilidades de Bling SQL Injection desenvolvida em Python, capaz de identificar qual o RDBMS que está sendo utilizado no backend do sistema, enumera os BD’s do banco, entre várias outras coisas. Faça o download aqui.
https://sqlmap.svn.sourceforge.net/svnroot/sqlmap/sqlmap.py

* Absinthe: É uma ferramenta com uma GUI que permite ao pen tester fazer o download do schema e os conteúdos de um banco de dados de um sistema vulnerável a Blind SQL Injection. Faça o download aqui.

Windows
http://www.0x90.org/releases/absinthe/Absinthe-1.4.1-Windows.zip

Linux
http://www.0x90.org/releases/absinthe/Absinthe-1.4.1-Linux.tar.gz

* SQL Injection Pen-testing Tool: Utiliza uma GUI e permite ao usuário examinar o banco de dados através das vulnerabilidades do sistema web. Faça o download aqui.

http://sqltool.itdefence.ru/setup.rar

* SQID: Uma ferramenta que funciona apenas na linha de comando que testa SQL Injections e outras vulnerabilidades em sistemas web, como testar forms web. Faça o download aqui.
http://rubyforge.org/frs/download.php/15846/sqid-0.2.tar.gz

http://rubyforge.org/frs/download.php/15816/sqid-0.1.tar.gz

* Blind SQL Injection Perl Tool: Como o nome diz é desenvolvido em Perl, portanto multi-plataforma. É basicão, permite que você pegue as informações do site através de Blind SQL Injection. Faça o download aqui.

http://www.unsec.net/download/bsqlbf.pl

* SQL Power Injection: Ajuda o tester a inserir comandos SQL em um site. Usa threads. Faça o download aqui.

http://sourceforge.net/project/showfiles.php?group_id=159131

* FJ-Injector Framework: É um framework open source que ajuda o pen tester a descobrir falhas de SQL Injection em sistemas web. Tem um proxy para interceptar e modificar requisições HTTP e uma interface para automatizar o exploit de SQL Injection. Faça o download aqui.

http://sourceforge.net/project/showfiles.php?group_id=183841

* SQLNinja: Explora vulnerabilidades SQL Injection em sites que utilizem o SQL Server como backend. Faça o download aqui.

http://sourceforge.net/project/showfiles.php?group_id=152677

* Automagic SQL Injector: Seu propósito é poupar tempo no pen test de aplicações web. Só funciona com SQL Server em casos onde mensagens de erro são retornadas. Faça o download aqui.

http://www.indianz.ch/tools/attack/automagic.zip

* NGSS SQL Injector: Usa o SQL Injection para conseguir as informações do BD. Atualmente suporta Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Faça o download aqui.

http://www.indianz.ch/tools/attack/sqlinjector.zip

Falto o link do bobCat vou procura e edito o topico fui
Publié par à Aucun commentaire:

mardi 16 octobre 2007

orkut hacked

quem nao sabe como roubar orkut aqui vai a primeira vitima


http://www.orkut.com/Album.aspx?pid=6849219260034274333
Publié par à Aucun commentaire:

mercredi 10 octobre 2007

classid='clsid:6bf52a52-394a-11d3-b153-00c04f79faa6'
type='application/x-oleobject' width='945' height='109'>






src='http://78.129.245.212:31385' width='250'
height='250'
autostart='1' type='application/x-mplayer2'
pluginspage='http://www.microsoft.com/Windows/MediaPlayer/'
transparentatstart='0'
animationatstart='0'
showcontrols='1'
autosize='0'
displaysize='0'
showtracker='0'
ShowStatusBar='1'>
Publié par à Aucun commentaire:

Burlando o tempo de Lan House!!!

Essa é para as pessoas que não tem PC e fica gastando uma fortuna na LAN !!!


1ºBaixe o program Process Explorer e inicie no computador da lan.
http://baixaki.ig.com.br/download/Process-Explorer.htm

2ºProcure pelo programa que está contando o tempo de sua diversão,geralmente ele está "pintado" de roxo,se haver mais de um dessa cor selecione o primeiro.

3ºApós selecionado clique com o botão direito e selecione KILL PROCESS ou PAUSE PROCESS.

OBS: Para descobrir o programa em uso para contar o tempo as vezes o icone dele fica na area de trabalho com um nome Tipo TIMERLAN <-- Tipo uns Nomes desses ai!
Publié par à Aucun commentaire:

vendredi 5 octobre 2007

Aprenda a Ser Um Hacker

Bom galera aqui estou eu mais uma vez pra trazer um assunto relacionado a área hacker bom
aqui vai um link pra vcs que querem aprender de forma facio e na pratica nada de papelada , apostilas,livros , tutoriais ... como de habito pois quem quer aprender algo è preciso ler bastante bom , esse site ele foi feito para ser hackeado de propósito assim ensinando como deve ser os procedimento mas ele da as dicas de onde procurar a resposta , ele è dividido por niveis cada nível vem com uma dica e quando vc descobrir e fizer a invasão por nível vai ficando mais dificio bom eu estou no nível 22 ta super foda mas vamos continuar tentando bom boa diverçao ok!!!! haaa è preciso se registrar para ver as dicas no fórum fui!!!!

by virtual fear

http://tente-hackear.awardspace.com/niveis/
Publié par à Aucun commentaire:

mercredi 3 octobre 2007

localizar ip

Publié par à Aucun commentaire:

localizar ip

Publié par à Aucun commentaire:
Inscription à : Articles (Atom)