Tag Archives: vulnerabilidades

/me no StaySafe Podcast

O Thiago Bordini e o Jordan Bonagura resolveram combinar a gravação do podcast bem no dia do meu 36o. aniversário. Um bate papo bem descontraído regado a algumas cervas e muito metal, onde conversamos sobre segurança de infra-estrutura, redes heterogêneas, virtualização, Ossec, mercado nordestino de segurança… Após ouvir sempre fica aquele ar de: “Putz!!! Tinha […]

Read more

Nessus Viewer

Os relatórios gerados pelo Nessus são bastante interessantes quando estamos analisando uma quantidade limitada de hosts. Quando a análise engloba mais de 100 hosts o negócio começa a ficar problemático devido a dificuldade na filtragem dos dados. Para resolver este problema passei a utilizar a ferramenta Nessus Viewer, está ferramenta facilita a filtragem dos dados […]

Read more

Usando o Nessus plugin com o MySQL e o db_autopwn no Metasploit

No post anterior apresentei como a integração entre o Nessus e o MSF pode tornar nossa vida bastante interessante. Agora irei rebuscar os testes usando o MySQL para manter os alvos e suas vulnerabilidades em uma base de dados, explorando-as de forma automatizada com o db_autopwn. O ambiente dos testes continuará o mesmo: Host Debian […]

Read more

Brincando com o plugin do Nessus para o Metasploit

Recentemente o desenvolvedor Zate Berg disponibilizou um plug-in do Nessus para o Metasploit Framework ele está disponivel na versão em desenvolvimento do MSF. Para os testes utilizei o seguinte cenário: * Host Debian com Nessus e Metasploit * Host Alvo com Windows 2000 “bugado até a alma” Inicialmente atualizei o MSF e o Nessus e […]

Read more

Falha no Horde3 permite ataque de Cross Site Scripting ( XSS )

Foi anunciada na lista Full-Disclosure uma falha no Horde3 que afeta as versões 3.3.8 e anteriores permitindo ataques de Cross Site Scripting (XSS). OBS: Não é necessário estar logado para realizar este ataque. A péssima notícia é que muitos dos webmails espalhados pelo globo estão usando uma das versões vulneráveis do Horde3. Podemos usar o […]

Read more

OWASP Broken Web Applications Project|Projeto OWASP Broken Web Applications

O OWASP Broken Web Applications é uma máquina virtual contendo uma coleção de aplicações Web vulneráveis e várias ferramentas para explorar estas vulnerabilidades. O principal objetivo deste projeto é prover num único lugar todas as ferramentas necessárias para o estudo de vulnerabilidades em diversas aplicações Web. Servindo também para: The OWASP Broken Web Applications Project […]

Read more

Crackers divulgam exploit para a falha no DNS

Como postei a alguns dias atrás, crackers divulgam código malicioso para explorar as vulnerabilidades no DNS informadas anteriormente. O código foi gerado pelo desenvolvedor do Metasploit, ele realiza ataques imperceptíveis de phishing nos servidores DNS desatualizados. “Crackers também poderiam usar o código para redirecionar silenciosamente usuários para servidores falsos de atualização de software, os forçando […]

Read more

Telefônica: Negligência x Contingência

O caso Telefônica ocorrido nesta quinta-feira fez com que a luz de alerta acendensse e abrisse nossa mente para alguns questionamentos: – Será que estamos tão dependendes da tecnologia que esquecemos que existe vida sem ela? – Instituições financeiras e governamentais confiam tanto que esqueceram de fazer o dever de casa? – Enquanto estamos sem […]

Read more

Informações sobre a falha do openssl

TEXTO RETIRADO DO BR-LINUX.ORG ” Na semana passada o projeto Debian enviou um comunicado informando que, devido a uma modificação específica do Debian (realizada em 2006) no pacote openssl, as chaves criptográficas geradas nos sistemas afetados podem ser bem mais fracas do que deviam. (Saiba mais). A correção para a falha de software não tardou, […]

Read more