Todos os posts em Ferramentas

Análise ao WPScan – WordPress Security Scanner

por David Sopas em 15 de Julho de 2011 em Artigos, Ferramentas com 1 Comentário

Esta semana testei a ferramenta WPScan do ethicalhack3r e surpreendeu-me pela positiva.
Programado em Ruby, o WPScan pode ser bastante útil a admins de blogues WordPress ou pentesters que queiram avaliar, de certa forma, a segurança do sistema de blogues mais popular da actualidade.

Esta ferramenta utiliza uma aproximação blackbox, ou seja, analisa sem qualquer conhecimento prévio o que está instalado no blogue WordPress.

Entre as principais características saliento:

  • Enumeração de nomes de utilizador (querystring do autor e do cabeçalho location)
  • Ataques força bruta ao painel de login (multithread)
  • Enumeração de vulnerabilidades (baseada na versão)
  • Enumeração de plugins (os 2220 plugins mais populares)
  • Outras verificações (nome do template, listagem de directórios, etc)

Testei no Mac OS X e no Ubuntu e a única coisa que tive de instalar foram as dependências (typhoeus e xml-simple):

sudo gem install –user-install typhoeus
sudo gem install –user-install xml-simple

Presumo que também deverá correr no sistema operativo Windows, desde que seja preenchido todos os requisitos.

Nos testes que realizei, ficando apenas de parte a força bruta, fiquei satisfeito com o resultado do WPScan que basicamente obtem a maioria das informações via código fonte da página (tal como o ScanPW).

(Teste que demonstra o nome do template utilizada no WordPress)

(Teste que demonstra a versão do WordPress, neste caso desactualizada, e a presença do ficheiro readme.html)

(Teste que demonstra possíveis vulnerabilidades)

Ainda numa versão alpha, é sem dúvida uma ferramenta a seguir e ter em conta.

Download:

svn checkout http://wpscan.googlecode.com/svn/trunk/ wpscan-read-only

Pesquisa no Pastebin com o Pastebin Scraper

por David Sopas em 20 de Junho de 2011 em Curtas, Ferramentas com 0 comentários

O Pastebin Scraper é uma aplicação web que pode ser bastante útil.
Além de ser gratuita e… online :-)

Esta ferramenta procura por texto no Pastebin, Pastie, Codepad, Slexy.org e no Gist.

PS: Já adicionei à secção de ferramentas online do WebSegura.

Lista de antivírus para Mac OS X

por David Sopas em 31 de Maio de 2011 em Artigos, Ferramentas com 0 comentários

No site oficial da Apple:

Um Mac não é afectado por vírus de PC. As defesas integradas ajudam a permanecer livre de vírus e malware, sem o incómodo de avisos e verificações constantes.

Como o número de vendas da Apple aumentar exponencialmente, também os cibercriminosos começaram a alargar os seus horizontes  e a criar software malicioso para o mercado Mac OS X (e até para iOS).

Imagem retirada do Help Net Security.

Como qualquer bom cidadão que trabalhe nesta área, muitos colegas e amigos, utilizadores do Mac OS X, têm me solicitado informação de software antivírus para o sistema operativo da Apple.

Aqui vai uma resposta baseada numa compilação via Google.
Começa pelos gratuitos e termina nos comerciais.

De facto, um software antivírus não é o suficiente para manter o teu computador seguro. É necessário ter consciência dos perigos que circulam pela web e manter sempre o software actualizado.

Espero ter contribuído com esta pequena lista e, desta forma,  elucidar os utilizadores do Mac que ainda acreditam que o malware neste sistema operativo é um mito.

Relembro que na secção de ferramentas do blogue, podes também encontrar diversos antivírus online.

Nota: Enquanto escrevia este artigo, recebi dois feeds relacionados com este tema.
O primeiro feed alertava da circulação pelo Facebook de um malware que tem como objectivo infectar exclusivamente utilizadores do Mac. O segundo feed informava que a Apple actualizou o antivírus interno do sistema operativo Mac OS X por causa do recente ataque do malware Mac Defender.

IronBee – uma WAF na nuvem

por David Sopas em 16 de Fevereiro de 2011 em Curtas, Ferramentas com 0 comentários

IronBee é um novo projeto open source da Qualys que funciona como uma WAF (Web Application Firewall) na nuvem, através de esforços colectivos da comunidade.

Pode ser descarregado aqui e podem ler o whitepaper aqui.

Mantra – uma framework browser-based grátis e opensource

por David Sopas em 24 de Janeiro de 2011 em Curtas, Ferramentas com 0 comentários

O Mantra é uma colecção de ferramentas gratuitas e opensource integradas num web browser.
O principal objectivo desta framework é auxiliar pentesters, web developers, profissionais de segurança, e outros utilizadores que necessitem de portabilidade, facilidade e rapidez, em testes de intrusão e análises de segurança web.

Na minha opinião, é um projecto interessante e com grande capacidade de evolução.

Querem testar? É só ir a www.getmantra.com

← Mais antigos
Mais recentes →