Tutti parlano di linux come un sistema insuperabile nell’ambito della sicurezza.
Purtroppo, linux se mal configurato, o meglio anche i software come apache,php se mal configurati su linux, possono creare varie falle di sicurezza, sopratutto in server di hosting ecc.
Che cos’è YASAT o Another Stupid Audit Tool ?
(continua…)
Post autore:
YASAT:Yet Another Stupid Audit Tool
marzo 23rd, 2010 by clshack
Fimap: Scanner LFI(Local File Inclusion ) and RFI(Remote File Inclusion)
marzo 22nd, 2010 by clshack
Recentemente, mi è stato chiesto che tipo di scanner utilizzassi per cercare vulnerabilità di tipo RFI e LFI , io risposi che il miglior scanner siamo noi.
Purtroppo però non possiamo provare pagina per pagina, potremo inciampare in qualche svista ecc per questo esistono tool come Fimap che fanno tutto in automatico.
Innanzi tutto, per chi non sapesse cosa sia una LFI o una RFI, ecco quanto segue da wikipedia:
RFI o Remote File Inclusion, o RFI, nell’ambito della sicurezza informatica indica una vulnerabilità che affligge i servizi web con uno scarso controllo delle variabili arrivate da un utente, in particolare le variabili GET e POST.
La vulnerabilità si manifesta quando una pagina da includere viene passata per una variabile non controllata.
Local file Inclusion è una vulnerabilità sfruttabile grazie alle funzioni include(), include_once(), require(), require_once() di php o altri linguaggi dove non opportunamente filtrato il “file da includere” è possibile includere un file interno alla macchina come ad esempio /etc/passwd (se si parla di sistemi Unix based)
Vi rimando a google per ulteriori approfondimenti ;)
(continua…)
WebMin: Gestire ubuntu/linux dal browser in modo completo e veloce
marzo 21st, 2010 by clshack
Quando andiamo ad installare ubuntu-server, siamo sprovvisti di una interfaccia grafica, questo è anche un fatto positivo, il nostro ubuntu è veloce e senza spazzatura, come evolution o altri pacchetti che vengono installati da ambienti desktop.
Purtroppo però, non è sempre facile gestire tutto da terminale, o almeno non lo è per tutti, alcuni comandi si scordano, casino ecc beh in questo caso ci aiuta webmin grazie al quale, riusciremo anche ad incrementare la velocità nelle operazioni che vogliamo fare.
(continua…)
SkipFish: Google security Scanner
marzo 20th, 2010 by clshack
Ed eco un altro nuovo scanner web, che analizzando le nostre applicazioni web , ci permetterà di scovare bug, vulnerabilità e quant’altro che possa compromettere la sicurezza della nostra applicazione.
Google, dopo ratproxy ha da poco sviluppato skipfish, che dal mio punto di vista non è altro che lo sviluppo avanzato e riscritto dello stesso ratproxy.
Skipfish è open source e per questo motivo, completamente gratuito.
Dal blog ufficiale, leggiamo i motivi per i quali SkipFish è molto utile:
(continua…)
[WORDLIST]DOWNLOAD ITALIANO/ENGLISH FOR PASSWORD CRACKING
marzo 19th, 2010 by clshack
Utilità ? umm poca comunque ad esempio a me è servito per recuperare la password di una condivisione a scuola :D quindi, in alcuni casi possono essere utile :D
Per chi non sapesse a cosa servisse un dizionario, da wikipedia:
Nella crittanalisi e nella sicurezza informatica, un attacco a dizionario è una tecnica per “rompere” un codice cifrato o un meccanismo di autenticazione provando a decifrare il codice o a determinare la passphrase cercando tra un gran numero di possibilità.
(continua…)
Se7en Lite: Crea un TUO personalizzato WINDOWS 7 (anche usb)
marzo 18th, 2010 by clshack
Si bla, sarà da mesi che non scrivo articoli riguardanti il mondo windows, però penso che questo programma possa veramente essere utile a qualcuno :)
Se7en Lite, può creare ISO personalizzate, nonchè trasferibili su penna USB, di Windows 7.
L’unico e fondamentale requisito, è possedere il un DVD di installazione di Windows Seven.
(continua…)
SqlMap: Ottimo scanner per sql injection :)
marzo 16th, 2010 by clshack
SqlMap è un ottimo tool per sviluppatori, lamer, cracker, gentaglia varia o per chi vuole fare del bene :) che permette di individuare falle nelle applicazioni che utilizzano un database SQL .
SqlMap è sviluppato in Python, perciò è un software multi piattaforma e open source .
(continua…)
OWASP Joomla Vulnerability Scanner
marzo 15th, 2010 by clshack
Joomla, è uno dei cms più usati per creare siti web dinamici che vanno da blog a forum e molto altro grazie a milioni di componenti aggiuntivi che aumentano notevolmente l’ampiezza d’uso di joomla.
Purtroppo joomla per questo è anche uno dei cms presi più di mira da cracker,lamer,script kiddie e gentaglia :D
(continua…)
[scanner-web]Websecurify: Ottima alternativa ad acunetix :)
marzo 13th, 2010 by clshack
Websecurify è una potente applicazione web per il controllo automatico delle vulnerabilità presenti nel nostro progetto, applicazione, sito.
Acunetix, come Websecurify, è in grado di scansionare siti web, e individuare:
- SQL Injection
- Cross Site Scripting
- CRLF Injection
- Directory Traversal
- Authentication Hacking
- Ajax Application Security
[Servizio]:Exploit Finder :)
marzo 12th, 2010 by clshack
Ed ecco un nuovo servizio che, cerca gli exploit in questi 3 database:
- exploit-db;
- securityreason;
- milw0rm;
Da wikipedia, la definizione di exploit:
Un exploit è un termine usato in informatica per identificare un codice che, sfruttando un bug o una vulnerabilità, porta all’acquisizione di privilegi o al denial of service di un computer.
Ci sono diversi modi per classificare gli exploit.
(continua…)
