Curso: Web Application Hacking September 30, 2009
Posted by y2h4ck in General Hacking.add a comment
Convido todos os visitantes deste blog de São Paulo/Capital e região à participar de um Tracking de Segurança cujo tema é Web Application Hacking. O tracking consiste de um curso com a duração de um Sábado (das 9:00 as 19:00) com conteúdo voltado a testes de penetração em aplicações Web. Totalmente interativo e dinámico, todos os tópicos serão abordados utilizando alto conteúdo teórico, challenges e laboratórios utilizando exemplos que visam adequar todo o conteúdo a realidade.
Entre os Tópicos abordados teremos:
- Code Quality Audit
- SQL Injection (sql/mysql)
- XSS
- XSFR
- Session Hijacking
- Remote File Injections
- Local File injections
- Data Tampering
- Veb Tampering
- Ajax Hacking
- HTTP Splitting Attacks
- Cookies Stealt
Entre muitos outros.
Para o conteúdo programático completo, datas e conteúdo utilizado assim como valor, favor entrar em contato com pelo email y2h4ck@gmail.com
As datas serão divulgadas assim que as turmas de 15 pessoas estiverem completas. O valor é acessível e acredito que seja uma grande adição ao curriculum de profissionais de segurança.
O curso sera agendado para um sabado de Outubro, quanto antes tivemos o numero minimo de pessoas, antes faremos :)
Envie junto ao e-mail sua sugestao de data.
Forte abraco a todos.
MySqloit – SQL Injection Takeover tool September 9, 2009
Posted by y2h4ck in General Hacking, Pentesting.Tags: Hacking, mysqloit, sql injection
add a comment
MySloit é uma tool para exploração de falhas de SQL Injection focada em LAMP(Linux, Apache, MySQL,PHP) e WAMP (Windows, Apache, MySQL,PHP). Ele tem a habilidade de fazer upload e executar shellcodes do metasploit através de falhas de MySQL SQL Injection.
Atacantes efeutando SQL Injection em MySQL-PHP podem acabar se deparando com diversas limitações ao contrário do mesmo cenário ocorrendo em um Windows com SQL Server que permite muito mais facilidades para escalar privilégios e etc. Por exemplo a falta de multiplos statements em uma query faz o MySQL uma plataforma pouco popular para remote code execution. Essa ferramenta foi escrita justamente para demonstrar como a execução remota de códigos pode ser executada em um connector de banco de dados que não suporta stack queries.
Plataforma Suportada:
1) Linux
Key Features
1) SQL Injection detection using time based injection method
2) Database fingerprint
2) Web server directory fingerprint
3) Payload creation and execution
Download: Aqui
Faça o teste e mande os resultados aqui para que eu possa postar no blog :)
Good Hacking 4 All.
Book of Month: September September 3, 2009
Posted by y2h4ck in General Hacking.Tags: Book of Month, Hacking, security, security book, shellcode
add a comment
| The Shellcoder’s Handbook: Discovering and Exploiting Security Holes |
| Author: Chris Anley, John Heasman, Felix Linder, Gerardo Richarte |
| Publisher: Wiley |
| Year: 2007 |
| Pages: 718 |
| Amazon’s book description: This much-anticipated revision, written by the ultimate group of top security experts in the world, features 40 percent new content on how to find security holes in any operating system or application. New material addresses the many new exploitation techniques that have been discovered since the first edition, including attacking “unbreakable” software packages such as McAfee’s Entercept, Mac OS X, XP, Office 2003, and Vista. Also features the first-ever published information on exploiting Cisco’s IOS, with content that has never before been explored. The companion Web site features downloadable code files. |
