WhatWeb é uma ferramenta que pode auxiliar um pen tester, numa simulação de um ataque real a um site, a obter informações sobre as aplicações web instaladas.
Com cerca de 80 plugins instalados, o WhatWeb consegue detectar desde simples Powered by XYZ, a assinaturas ou padrões mais complexos.
Podem descarregar o WhatWeb no site oficial ou apenas consultar mais informações.
Segundo o site oficial, o SQLFury é uma ferramenta que corre em Adobe Air e que permite realizar alguns testes de intrusão no nosso site ou aplicação web contra técnicas SQL Injection.
Este software suporta base de dados em MySQL, PostgreSQL, Oracle e Microsoft SQL Server e possibilita a extracção de informação, como por exemplo, utilizadores das base de dados, informações das tabelas e colunas completas.
Uma das primeiras aplicações do género em Adobe AIR.
Nos testes que efectuei não encontrou falhas básicas e reportou alguns falsos positivos.
Aguardo por novas versões…
Os slides da apresentação de Marcin Wielgoszewski no OWASP NYC Chapter de como fazer testes de intrusão em aplicações baseadas em Adobe Flex.
O Select For XML SQL Injection é uma nova* técnica de SQL Injection que permite extrair, de uma forma eficaz e rápida, toda a informação de um servidor de base de dados MSSQL Server 2005/2008.
Esta técnica, baseada na clausula FOR XML, permite converter o conteúdo de uma tabela em uma string simples e por isso, todo o conteúdo pode ser acrescentado num campo, injectando uma subquery num campo vulnerável numa aplicação web.
O SFX-SQLi é uma ferramenta interessante que vai auxiliar no pen testing neste tipo de SGBD.
Podem fazer o download do código fonte ou da versão compilada [aqui], tal como o artigo sobre For XML SQL Injection [aqui].
Para os mais desconfiados coloco [aqui] a avaliação do VirusTotal.
* Embora seja uma técnica pouco divulgada, já é conhecida pela comunidade de segurança de informação algum tempo.
Numa pesquisa consegui encontrar referências a uma publicação de Dennis Hurst em 2007.
Nuno Silva: Boa tarde. Eu recebi esta proposta? Alguem me sabe esclarecer de algum...
Pedro: Fui mais uma vítima do Carlos Refachinho. Inocentemente confiei na con...
Lais Borges: Recebi um e-mail de um interessado na minha câmera e achei estranho, p...
Antonio: Mais um burlão, Carlos Alberto Cardoso Saramago com o contacto 9685192...
Antonio Carlos de Melo: Recebi tambm...tirei passaporte...pediram dinheiro para pagar moradia ...
Artigos em português© 2009 - 2016 WebSegura.Net.
O conteúdo do WebSegura.net é protegido sob a licença Creative Commons (CC BY-NC-ND). Pode reproduzir o conteúdo, desde que insira os devidos créditos com o link para o conteúdo original e não faça uso comercial do nosso trabalho.
