O Pentester deve ter em mente que após a realização de testes de penetração, deverá apresentar provas de conceito (PoC – Proof of Concept) e inclusive providenciar relatório circunstanciado. Diante do exposto, apresentarei de forma breve como fazer a extração de informação da máquina comprometida.  O cenário a seguir, mostra o comprometimento da máquina alvo através de vulnerabilidade por falta de atualização. Um...

Ola pessoal !!! Existe uma ferramenta para exploração de SQL Injection bastante interessante, pela qual foi criada  com o objetivo de aperfeiçoar as técnicas de exploração relacionadas ao SQL Injection. Com esta ferramenta você poderá aplicar grau de dificuldade nas práticas de injeções SQL, de uma certa forma aprimorando e estabelecendo um nível de segurança em seu código. Confira em: Vídeo Blind...

A OWASP “The Open Web Application Security Project” disponibiliza a Appsec Tutorial Series, ou seja, vídeos interessantes sobre segurança de aplicações WEB e dentre eles, SQL Injection e XSS. Confira :Vídeos OWASP

Sabemos que a primeira fase de um ataque é reconhecimento, ou seja, nesse momento o atacante reúne informações sobre aplicativos, portas, versões, etc. Suponhamos que um invasor saiba a versão de nosso servidor web, será que estaríamos vulneráveis? Bem, através da versão de um aplicativo é possível determinar qual exploit será eficaz, logo, existe uma vulnerabilidade. A seguir vamos demonstrar como mitigar a fraqueza em...

Olá pessoal !!! vamos fazer um simples programa em C que adivinha a soma de cinco números. Vamos utilizar um algoritmo para adivinhar a soma dos cinco números. Vamos fornecer o primeiro número, depois o segundo número e o programa mostrará o terceiro, por fim digitaremos o quarto número e o programa mostrará o quinto número. Vamos utilizar o editor de texto VIM http://grsecurity.com.br/apostilas/VIM/ para escrever o programa e...

Olá pessoal !!! Bem vindo ao site Back|Track Brasil !!! Vamos ver a ferramenta TCPDUMP considerado um dos maiores “sniffer”. Alguns comandos serão apresentados. Lembrando que existe muito material na NET a respeito do assunto. Utilizando o TCPDUMP podemos realizar analises de rede e muito mais. O site oficial é www.tcpdump.org Obs: Clique na imagem para aumentar Vamos verificar a interface de rede com o comando...