Raptor WAF – Web Application Firewall com DFA

raptor

Raptor WAF é um firewall de aplicação web simples feito em C, usando o princípio KISS, para fazer o poll usar a função select (), não é melhor que epoll () ou kqueue () do * BSD, mas é portátil, o núcleo do motor usa DFA para detectar XSS, SQLi e path transversal.
Sem mais delongas, vejam o vídeo da ferramenta em ação:

Continuar lendo

Sem categoria

Top 10 Paste web sites para monitorar

Ola a todos, no post de hoje quero indicar uma lista de páginas do estilo PasteBin com conteúdos existentes na Internet.Estas páginas são um dos principais lugares onde se encontram dumping de bases de dados, credenciais, e uma longa lista de itens.

Com isso, resolvi fazer um top 10 sites onde vale a pena monitorar para encontrar dumps:

Lista (não está em ordem de relevância):

  1. http://junpaste.it
  2. http://pastie.org/
  3. http://hastebin.com/
  4. http://pastebin.com
  5. http://paste.ubuntu.com
  6. http://dumptext.com/
  7. http://pasteguru.com
  8. http://wklej.se
  9. http://www.textsnip.com
  10. https://snipt.net/search/
Sem categoria

Google mostra todos os registros que faz de sua vida!

O Google lançou dia 28 de junho um serviço chamado “My Activities” (minhas atividades), que mostra todos os registros que faz de sua vida, seja online seja através de seu dispositivo Android.

O Google sabe a hora que você acorda, quantas vezes acessou o WhatsApp (e em que horários), e várias outras atividades.

A invasão e registro de nossas vidas é completa e, principalmente, faz parte do que “concordamos” ao acessar qualquer dos seus serviços ou sistema operacional.

Para saber (e até apagar) os registros que o Google mantém de você e sua vida, acesse:

https://myactivity.google.com/

Texto do amigo David Svaiter

Sem categoria

Brincando com compartilhamentos – Parte 01

Aqui alguns comandos básicos mas que ajudam muito, e como eu ando com a memória ruim, roubei essa dica já meio pronta de outro blog, achei legal, e to compartilhando!

Testar compartilhamentos abertos/445

Liste os compartilhamentos com smbclient -L 1.2.3.4

root@localhost:~# smbclient -L 1.2.3.4
Enter root’s password:
Anonymous login successful
Domain=[MSHOME] OS=[VxWorks] Server=[NQ 4.32]
        Sharename       Type      Comment
        ———       —-      ——-
        IPC$            IPC
        MEMORY_CARD     Disk      FLASH MEMORY PHOTO
Anonymous login successful
Domain=[MSHOME] OS=[VxWorks] Server=[NQ 4.32]
        Server               Comment
        ———            ——-
        Workgroup            Master

 

        ———            ——-
Tente se conectar ao compartilhamento
root@localhost:~# smbclient \\\\1.2.3.4\\MEMORY_CARD
Enter root’s password:
Anonymous login successful
Domain=[MSHOME] OS=[VxWorks] Server=[NQ 4.32]
tree connect failed: NT_STATUS_ACCESS_DENIED
Boo
Quando funciona:
root@localhost:~# smbclient \\\\2.3.4.5\\MDMLOAD
Enter root’s password:
Anonymous login successful
Domain=[DEMO] OS=[Unix] Server=[Samba 3.6.23-20.el6]
smb: \> l
  .                                   D        0  Wed Nov  4 02:42:15 2015
  ..                                  D        0  Mon Oct 12 20:38:40 2015
  input.csv                           A     2024  Mon Nov  2 22:13:18 2015
59400 blocks of size 2097152. 19612 blocks available

enum4linuxajuda quando você tem uma quantidade boa de compartilhamentosou se você quiser fazer algo mais especifico e rápido. -S para verificar compartilhamentos, ou -a para varrer tudo.

root@localhost:~/enum4linux-0.8.9# perl enum4linux.pl -S 3.4.5.6
Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Tue Dec 15 22:34:52 2015
 ==========================
|    Target Information    |
 ==========================
Target ……….. 3.4.5.6
RID Range …….. 500-550,1000-1050
Username ……… ”
Password ……… ”
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none
 ==========================================
|    Share Enumeration on 3.4.5.6    |
 ==========================================
Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.12]
Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.12]
        Sharename       Type      Comment
        ———       —-      ——-
        www             Disk      Public Stuff
        IPC$            IPC       IPC Service (Samba Server Version 4.1.12)
        Server               Comment
        ———            ——-
        Workgroup            Master
        ———            ——-
[+] Attempting to map shares on 3.4.5.6
//3.4.5.6/www     Mapping: OK, Listing: OK
//3.4.5.6/IPC$    Mapping: OK     Listing: DENIED
enum4linux complete on Tue Dec 15 22:35:09 2015
root@localhost:~# smbclient \\\\3.4.5.6\\www
Enter root’s password:
Anonymous login successful
Domain=[MYGROUP] OS=[Unix] Server=[Samba 4.1.12]
smb: \> ls
  .                            DR        0  Sat Dec 12 14:23:20 2015
  ..                            D        0  Thu Oct  8 11:53:20 2015

 oops                           D        0  Fri Nov 27 17:38:04 2015
—SNIP—

Quer fazer o download de uma pasta?

root@localhost:~# smbget -R smb://3.4.5.6/www/oops
Username for www at 3.4.5.6 [guest]
Password for www at 3.4.5.6:
Using workgroup WORKGROUP, guest user
smb://3.4.5.6/www/oops/images/defaultpic.gif  smb://3.4.5.6/www/oops/images/ad2.jpg
—SNIP—

enum4liux ajuda muito no teste interno, ele tenta enumerar os domain SID, se obtiver sucesso ele faz um brute force do SID para enumerar todos os SIDs/user accounts do dominio.

Roadsec – Evento de segurança abre oportunidade para deficientes auditivos

O ROADSEC, maior evento de hacking, segurança e tecnologia do continente, depois de quase dobrar de tamanho na edição do ano passado, agora vai expandir seu público por meio da inclusão social. Na temporada 2016, que passará por 15 capitais brasileiras durante o ano – começando por Campo Grande (MS) no próximo sábado (20) – será inaugurado o programa RoadAccess, que vai viabilizar a participação de deficientes auditivos no evento.

Em parceria com a Morphus Segurança da Informação, equipes de tradutores de libras darão apoio para que, pela primeira vez, deficientes auditivos possam acompanhar as palestras sobre tecnologias e tendências no universo hacker, participar de oficinas interativas e o principal: disputar os dois campeonatos de hacking mais relevantes da América do Sul:

  • O Hackaflag, principal campeonato brasileiro de hacking;

  • E o Cryptorace, maior gingana de cryptografia do Brasil.

 

Os melhores em cada competição ganharão uma viagem com tudo pago para São Paulo e poderão disputar a grande final, em novembro, e conseguir o título de  melhor hacker do país.

Neste ano, o painel de conteúdo da edição sul-matogrossense trará palestrantes com temas ácidos e provocadores, como: engenharia social, cases de invasão a aplicativos de encomendas e muito mais! Confira a grade completa: http://roadsec.com.br/campogrande2016/

SERVIÇO:

Data: 20 de Fevereiro das 9h30 às 18h

Local: Universidade Anhanguera_Uniderp (Rua Ceará, 333 – Vila Antônio Vendas)

Ingressos:  80 inteira – 40 estudante (http://roadsec.com.br/campogrande2016/)

 

SOBRE O ROADSEC

O Roadsec é um roadshow itinerante com palestras, oficinas, campeonatos com a temática hacker. Em seu quinto ano na estrada, passará em 2016 por 15 capitais durante o ano:

– Conteúdo

Ataques, teorias, defesa, carreira, pesquisas, empreendedorismo e guerra digital são alguns dos destaques na grade de palestras.
– Oficinas

Pilote e manobre um DRONE usando apenas o seu celular, monte um robô de LEGO MINDSTORMS e seja seu comandante, destranque cadeados sem usar as chaves na oficina de LOCK PICKING, faça seu próprio molde de arte 8-bits com os PIXEL BEADS, construa um circuito eletrônico inteligente com as peças do LITTLE BITS ou experimente a realidade virtual com o OCULUS RIFT!

SOBRE O HACKAFLAG

No estilo “capture the flag”, um ambiente é disposto aos participantes com inúmeros desafios, de vários tipos, níveis e especialidades. Desde crypto até web, todos podem participar, não importa sua área, experiência ou idade. Cada desafio quebrado dá pontos aos participantes. Quem fizer mais pontos, vence!  O campeão de cada estado ganha uma viagem com tudo pago para a mega edição de encerramento do Roadsec, em São Paulo, para disputar a final do campeonato contra todos os outros campeões da 14 capitais visitadas.

Sem categoria

Link para dar crash no Iphone, Android ou no navegador Google Chrome

iphone-crash

A nova brincadeira que circula no Twitter, Facebook e outras plataformas de mídia social poderia travar o seu iPhone ou iPad completamente.
Se você se deparar com um link para crashsafari.com, melhor não abri-lo no seu iPhone, iPad ou até mesmo Macs. Isso fará com que a aplicação deixe de funcionar , potencialmente causando um reset no seu aparelho da Apple

No caso, você quer tentar fazer isso, basta CLICAR AQUI para visitar o site e veja o que acontece. Atualmente, as pessoas estão espalhando o link para CrashSafari.com via Twitter usando um encurtador de URL, e os usuários são levados a visitar o local sem ser saber..

O problema afeta desktops e android também.

Fonte: ThehackerNews

Sem categoria