Todos os posts tagados rsnake

XSS mostra passwords gravadas no gestor do Firefox

por David Sopas em 16 de Março de 2010 em Curtas com 1 Comentário

No website do RSnake ficou demonstrado que não devemos gravar autenticações nos gestores de passwords dos browsers.
O exemplo [aqui] funcionou no meu Firefox 3.6 e parece que pode ser usado para todos os browsers disponíveis no mercado.

O que se pode fazer com apenas 2 linhas de código Javascript…

Como já alguém dizia, don’t trust no one.

Nikto versão 2.1.1

por David Sopas em 3 de Fevereiro de 2010 em Ferramentas com 0 comentários

Para quem não conhece este famoso scanner, é uma ferramenta open source que efectua testes de segurança em servidores web.
Entre as principais características podemos encontrar mais de 6100 falhas em CGIs ou ficheiros potencialmente perigosos e pesquisa por versões antigas em mais de 950 servidores.

Esta nova versão, para além de corrigir uma lista de bugs, tem novas funcionalidades:

  • Novos método de teste RFI
  • Mais de 2300 novos testes com strings RFI (usando a lista do RSnake)
  • Libwhisker 2.5, que inclui 2 novas técnicas de invasão IDS
  • Capacidade de executar plugins específicos
  • Relatório XML inclui informação SSL

Podem descarregar e obter mais informações do Nikto [aqui].

Lista de strings RFI

por David Sopas em 1 de Fevereiro de 2010 em Curtas com 0 comentários

RSnake compilou uma lista de strings RFI baseada em sites como o milw0rm e osvdb. Esta base de dados pode ser usada, por exemplo, para serviços de auditoria.

Descarregar a lista completa [aqui].

PHP LFI Backdoor

por David Sopas em 1 de Fevereiro de 2010 em Curtas com 0 comentários

No blogue do RSnake foi publicado um artigo sobre como é possível criar um backdoor usando o método LFI (Local File Include) em PHP. Tenham em conta os comentários no artigo pois complementam o estudo do RSnake. Artigo completo [aqui].

Mais recentes →