Monitorando mudanças em websites

Olá pessoal!

Descobri recentemente uma ferramenta no mínimo curiosa.

A ferramenta em questão se chama Website-Watcher e seu objetivo é monitorar mudanças em sites. Ai você pode me perguntar, mas por quê vou querer monitorar mudanças em sites?

Os usos são muitos. Pode ser para substituir o RSS caso não goste dele, monitorar novos posts, novos tópicos em fóruns e listas de discussão, levantamento de informações, ou apenas monitorar por curiosidade.

Não sei vocês mas esta ferramenta vai me ajudar bastante. Já consegui pensar em certos usos para ela...

Esta ferramenta é paga mas tem um trial de 30 dias. Possivelmente existem ferramentas gratuitas que fazem a mesma coisa, e também não é algo tão complexo que não possa ser feito uma versão sua.

Caso queiram mais detalhes podem olhar aqui!

E era isso!

Até a próxima.

Read More

Um bom modo de estudar programação

E ai pessoal!

Como provavelmente vocês já viram o post "A importância da programação", programação é realmente muito importante. Eu não sou nenhum expert em programação, pelo contrário, sou bem mediano, para não dizer ruim.

Para resolver isso, estou melhorando minhas habilidades de programação e um dos primeiros conteúdos que fui atras foi o famoso curso de programação de Harvard. Se você não está sabendo, a Universidade de Harvard dos EUA disponibiliza online a disciplina de programação do curso de Ciência da Computação no portal edX. Neste portal também podem encontrar diversos outros cursos, então fica a dica.

Descobri recentemente que existe uma comunidade brasileira que redistribui este curso. Para o pessoal que ainda tem um problema com o idioma inglês deixo aqui a dica do site cc50.com.br, que tem o curso e algumas outras informações da comunidade.

O curso em si é muito bom, mas já aviso, antes de cair de cara é necessário que você já tenha um conhecimento básico de lógica de programação e quem sabe até mesmo programação em si. O curso de Ciência da Computação tem um nível elevado comparado com a maioria dos cursos similares daqui, então se você pensa em seguir com o curso prepare-se para estudar muito.

Mais uma informação, no curso a linguagem de programação usada é o C, e o Scratch na primeira aula.

Deixo essa dica e fico por aqui!

Vou lá estudar programação também! :D

Read More

Serviço do Lizard Squad que vendia ataques DDoS sofre vazamento de dados

Lançado no final do ano passado pelos hackers do Lizard Squad, o serviço de venda de ataques DDoS (sigla para "ataques de negação de serviço distribuídos") LizardStresser foi invadido e dados de seus clientes foram vazados. A informação foi confirmada pelo especialista em segurança Brian Krebs, que afirmou em seu blog ter obtido acesso a todo o banco de dados de usuários cadastrados no site – pouco mais de 14 200 pessoas.

O LizardStresser foi lançado no final do ano passado, depois que seus fundadores ganharam notoriedade por derrubar (e manter fora do ar) as redes da Xbox Live e da PlayStation Network. Os ataques DDoS serviram como uma vitrine para o grupo, que, no fim das contas, não era exatamente tão profissional quanto aparentava.

Além de ter o próprio site invadido, o grupo mantinha logins e senhas dos possíveis clientes em plain text -- ou seja, sem proteção alguma, como se estivessem em um bloco de notas. Fora esses deslizes, um dos membros do esquadrão ainda foi detido na semana passada no Reino Unido, e outros dois tiveram a mesma sorte entre a virada do ano e o começo de janeiro.

No “mercado de ataques DDoS”, interessados podiam contratar golpes do tipo por preços que iam de 6 a 500 dólares, segundo o The Guardian. Os valores eram pagos em bitcoins, e de acordo com Krebs, mais de 11 mil dólares -- vindos de algumas centenas de usuários cadastrados -- foram arrecadados com as vendas de ataques.

Também segundo informações do especialista em segurança, o tráfego usado para derrubar páginas e redes vinha de uma botnet formada por milhares de roteadores hackeados. O grupo dizia, na descrição do serviço, que tinha entre 100 e 125 Gbps de “poder de fogo” disponível para saturar os alvos e tirá-los do ar.

Fonte: Info

Read More

Ferramenta para spoof de email

E ai galera!

Achei aqui uma ferramenta para spoofar emails. Funciona muito bem, só preencher os campos e enviar. Com direito a anexos, criptografia, edição de HTML e muito mais.

Obviamente vai cair em spam ou indesejados.

Mas como temos ótimas intenções fica ai a dica. :)

Emkei's Instant Mailer

Read More

explainshell – ferramenta web bem útil que explica comandos shell

explainshell é um site/ferramenta web bem útil para aqueles que desejam aprender o que significada cada argumento de um comando rodado via shell script.

Vejam o exemplo da análise do comando abaixo:

Ferramenta mais do que obrigatório no bookmarks da galera que trabalha com administração Linux 

Vi lá no Coruja de TI

Read More

Microsoft renova visual do Bing e faz melhorias no buscador

O Bing está de cara nova. A Microsoft revelou nesta terça-feira (17) o redesenho da marca e do layout para seu site de buscas, que também ganhou uma série de novas funcionalidades. Entre as novidades estão: pré-visualização, autocompletar com mais detalhes da busca, Pole Position que traz dados de clima e o Snapshot que mostra resumos do assunto pesquisado.

Em publicação no blog oficial do buscador, Scott Erickson, diretor do Bing, falou sobre as mudanças visuais. Agora, a nova logo, por exemplo, está utilizando a fonte Segoe e um tom de laranja claro – quase amarelo – alinhada com logos coloridades de produtos. Segundo ele, todas as modificações foram pensadas por vários meses e entrevistas foram feitas com desenvolvedores e consumidores para melhorar a plataforma de buscas online.

Mas, segundo a Microsoft, a nova identidade do Bing é mais do que uma nova logo e paleta de cores. Um novo sistema de arquitetura de marca pretende evoluir o Bing de maneira estratégica de acordo com os outros produtos da companhia: Xbox, Windows 8 e Office.

"Não queremos só disponibilizar dados com links azuis. O Bing não é mais só um buscador em um site. É uma marca que combina esta tecnologia com produtos que você usa todos os dias. É hora de sair da caixa”, disse o diretor, propondo maior rivalidade com o Google.com.

O Bing disponibilizou um site (em português) no endreço bing.com/newbing com detalhes sobre as novidades que estão chegando também para os usuários brasileiros. Entre os destaques divulgados na página estão uma busca mais inteligente e novos aplicativos no Windows 8, pesquisa por voz no Windows Phone e no Xbox 360, além de ferramentas para o Office. O novo Bing chega aos poucos, nos próximos dias, para todos os usuários Microsoft.

“Você vai começar a notar algumas mudanças no Bing.com nas próximas semanas. Vamos fazer isso da maneira rápida e fácil para você encontrar o que precisa em qualquer dispositivos”, promete a Microsoft.

Segundo a Microsoft Brasil, o país fará parte da primeira leva de nações que receberão o novo visual do Bing, que também deverá chegar ao mesmo tempo nos Estados Unidos, Reino Unido, França, Alemanha, Canadá, Austrália, Japão, Índia, Itália, Espanha e China.

Fonte: TechTudo

Read More

[Dica] grc.com

E ai pessoal!

Já ouviram falar nesse site? Provavelmente não. Antes de mais nada, o Gibson Research Corporation é um site para quem estuda e trabalha com segurança da informação. O site é mantido por um dos maiores nomes do ramo na atualidade, o Steve Gibson. Para mais informações sobre o site ou seu trabalho recomendo que acompanhe seu podcast, o Security Now.

E vamos ao site! Neste site temos algumas ferramentas gratuitas para testes e outras pagas. Destaco a ferramenta chamada SpinRite 6, que tem a fama de ser milagrosa e com um certo tempo de espera, a capacidade de reviver quase qualquer sistema danificado, indiferente da causa. Não cheguei a testar essa, mas ouvindo os relatos no podcast parece que realmente funciona.

Outra ferramenta muito interessante que eu já testei e vi que é realmente boa é o Shields UP!! Esta ferramenta testa suas defesas aos mais variados tipos de ataques que o site lança e mostra em um ranking próprio com várias estatísticas detalhadas e dicas para você saber o que fazer para melhorar.

Mas não é só isso, o grc tem muitas coisas interessantes além dos dois carros chefes, como um página dedicada a criação de senhas fortes, com simulação para tempo de quebra e dicas e um outro serviço que promete avisar se você está sofrendo um ataque MITM ou se alguém está escutando seu tráfego. Não sei como essa "magia" funciona, mas realmente funciona.

Recomendo a todos que visitem o grc.com e confiram vocês mesmos.

Read More

Pentest em Sites com Metasploit Parte 1

E ai galera!

Estou trazendo para vocês uma tradução/adaptação do paper do Sumedt Jitpukdebodin, do Packet Storm Security, que explica como fazer um pentest completo praticamente só com o metasploit, achei interessante e venho compartilhar com vocês. Como são 24 páginas, eu vou separar em partes e postar aqui em umas 3 ou 4 partes para facilitar. E vamos lá!

Normalmente, Pentesters ou Hackers usam o Metasploit para exploitar serviços vulneráveis no servidor do alvo, ou criar um payload para usar como backdoor no alvo. Mas o Metasploit melhorou muitos plugins e módulos, e agora pode fazer mais que isso. Pode ser usado para pentest em aplicações web também.

Nesse artigo, vou mostrar como pode se usar o Metasploit para escanear o servidor web em busca de informações e usar o Metasploit para testar a aplicação.

Cenário

Neste artigo, vamos tentar atacar um cliente que tem um servidor vulnerável. Para isso usaremos:

1. Atacante - Backtrack 5 R3

2. Alvo – WackoPicko web application(um dos sites do OWASP Broken Web Application v1.0)

Fase de Escaneamentos

Primeiro passo de um pentest, você precisa adquirir o máximo de informação possível do alvo. Para isso, vamos escanear o servidor.

O Metasploit tem o "db_nmap", um módulo que usa o nmap para escanear o site e com o resultado, coloca em um banco de dados para manter todas as informações.

1. Abra o terminal e digite:

root@bt:/# msfconsole

2. Assim que o console do Metasploit carregar use o comando db_nmap com o ip do alvo.

msf > db_nmap ip [opções]
msf > db_nmap 10.12.0.2

3. Podemos checar o resultado do scan a qualquer hora com o comando hosts:

msf > hosts -h

msf> hosts

4. Você pode usar o comando "services" para receber detalhes dos serviços rodando no alvo. Este comando tem as seguintes colunas: “created_at, info, name, port, proto, state, updated_at” .

msf > services -h

msf > services

msf> services -c port,name,state

Olhando meio rápido, o resultado mostrou que o alvo pode ter um servidor web. Metasploit tem um módulo crawling também.

1. Selecione no diretório auxiliary/scanner/http/crawler.

msf> use auxiliary/scanner/http/crawler 

2. Especifique o alvo no RHOST.

msf auxiliary(crawler) > set RHOST 10.12.0.2
Neste artigo, estamos focados no WAckoPicko Web Application, então vamos especificar o caminho no URI.
msf auxiliary(crawler) > set URI /WackoPicko/website/

3. Inicie o crawler:

msf auxiliary(crawler) > run 

Nesta fase, você pode adquirir informações do servidor e da aplicação que está rodando. Na próxima fase vamos usar essa informação para atacar.

Read More