malsploit

Este si un film despre premiile astea. Filmul nu e stralucit, dar situatiile sunt amuzante. The Darwin Awards (2006) - IMDb http://www.youtube.com/watch?v=KIEQXIkXrPU

Multumesc! Raport e mult spus L-am scris intr-un editor de text si l-am exportat in pdf. Dar nu asta e important.

Nu e vorba de o anumita structura. Pur si simplu depinde de la caz la caz. Principala lor problema era faptul ca nu era server-ul corect configurat si se facea directory-listing. Asa am putut sa gasesc si xss si lfi. Le-am explicat cum am gasit vulnerabilitatile, am dramatizat putin impactul asupra clientilor, le-am vorbit chestii generale despre xss, lfi etc

Acum cateva zile am gasit niste vulnerabilitati intr-un site de plati online. Initial am descoperit ca site-ul respectiv isi ia codurile captcha dintr-un fisier txt care continea ~1k de cuvinte random. Am mers putin mai departe si am gasit un director /fileadmin/ care continea extrem de multe fisiere si directoare. Acolo am descoperit si un director log/ care continea logurile de acces. In acest director era si un fisier intranet.log in care erau intregistrate logurile de acces din reteaua intranet. Am mai gasit si un alt director /intranet care continea documente interne ale companiei, strategii de marketing, date personale ale angajatilor etc. Am dat si peste niste xss-uri, un lfi. Am descoperit si un formular unde puteai urca anumite tipuri de fisiere. Nu am cautat mai multe la acel moment. Am incercat sa le cer celor care se ocupa de twitter si de facebook-ul companiei un e-mail la care sa pot raporta vulnerabilitatile. Mi-au spus sa raportez la info@*.com Am trimis mail acolo cu un raport de 2 pagini si 2 zile nu a raspuns nimeni. Am publicat pe blogul personal un video cenzurat si le-am trimis postarea printr-un mesaj pe facebook. In 20 de minute am avut vreo 300 de vizualizari pe blog de la niste ip-uri care apartin companiei. Am fost contactat de CISOul lor si mi-a cerut un numar de telefon. I-am spus ca nu vorbesc foarte bine engleza si ca ar trebui sa vorbim pe e-mail. I-am explicat unde sunt vulnerabilitatile si cum sa le repare. Eu ii spuneam si in cateva secunde era reparat Chiar era un sentiment placut. Dupa ce Au fost reparate, primesc urmatorul mesaj: Dupa ce am sters video-ul, am primit alt e-mail: A doua zi dimineata aveam banii in cont. Data viitoare cand raportati ceva, scrieti un raport care sa arate frumos, fiti amabili, incercati sa luati legatura cu cei care se ocupa de securitate si sigur veti avea de castigat

https://rstforums.com/forum/59818-regulamentul-forumului-ro.rst#post501357 Data viitoare veti fi sanctionati.

Google don't troll me - insertCoin

Insanatosire grabnica!

Fie ca asta sa fie singurul thread in care ne uram sarbatori fericite

Vorbeste cu tex. El are licenta.

asta e tutorial? nici macar un "noob" nu are ce invata de aici.

https://www.torproject.org/ https://securityinabox.org/en/tor_anonymitynetwork

sqlmap: automatic SQL injection and database takeover tool python sqlmap.py --dump-all -g "inurl:.php?id=2"

Si sunt toti membrii ai RST

Vedeti ca este pe un shared hosting unde sunt multe site-uri vulnerabile la sqli. Poate ii faceti o surpriza de sarbatori. http://www.bing.com/search?q=ip:91.196.124.73+ext:php+id

MySQL :: MySQL 5.1 Reference Manual :: 13.2.8.1 SELECT ... INTO Syntax Kaotic Creations: SQL Injection: How to use LOAD FILE & INTO DUMPFILE

Nu prea imi plac discutiile astea in care tratati femeile ca pe bunuri/investitii si mai si va laudati cu asta. Modul in care tratezi o femeie depinde de demnitatea ta de barbat. O femeie trebuie iubita si rasfatata. Trebuie facuta sa rada tot timpul. eu i-am zis iubitei mele: "daca intr-o zi, dupa multi ani o sa te uiti in oglinda si o sa te simti nefericita si o sa simti ca e din cauza mea si ca nu se mai poate face nimic, sa imi zici. O sa ma imbrac si o sa plec din casa noastra si din viata ta, oricat de multe ne-ar lega. Viata e prea scurta ca sa o traiesti nefericita" Stiu ca nu o sa se intample asta deoarece tot timpul ma straduiesc sa-i arat ca urmatoarele zile din viata ei, alaturi de mine, vor fi frumoase. In momentul in care simti ca ai de ales intre doua femei, inseamna ca e posibil sa fie ceva in neregula cu tine. Daca intrebi si niste straini, care nu te cunosc, si nu stiu ce fel de om esti, clar e ceva in neregula cu tine. In primul rand, ca barbat trebuie sa inveti sa iti asumi responsabilitatea, sa iei decizii si sa ti le asumi.

A scanat cu acunetix si a gasit 5 sqli-uri blind in RST. A intrebat daca primeste ceva in schimb. //Stiu ca a fost mesaj privat, dar era prea... ca sa tin informatia doar pentru mine. /ban pentru acumulare de infractiuni.

Ti-am dat ban o saptamana. Mai ma gandesc daca iti dau definitiv. https://rstforums.com/forum/search.php?do=finduser&userid=98535&contenttype=vBForum_Post&showposts=1

Acume ceva timp aveau si un sqli acolo.

Instaleaza apache+php+mysql pe un server local. Dupa ce ai terminat, "urca" site-ul acolo si apoi scoate din priza sistemul pe care ai instalat server-ul si ascunde-l intr-un dulap incuiat si scapa de cheie. Ti-am inchis/mutat thread-ul celalalt pentru ca nu ai stiut sa formulezi niste intrebari. Trebuia sa spui ce folosesti, daca ai instalat vreun cms, ce control ai asupra server-ului, cine foloseste "domeniul". Din moment ce site-ul tau are acces la internet, nu il poti ascunde. Sunt atat de multe variabile de luat in calcul, incat nimeni nu o sa iti ofere un raspuns concret. Sa spunem ca, teoretic, ti-ai protejat toate script-urile de orice vulnerabilitate. Daca folosesti o combinatie username/parola de genul admin:admin nu te ajuta cu nimic. Sa spunem ca, tot teoretic, ai si niste megaparole setate peste tot. Daca server-ul de hosting pe care il folosesti nu este configurat corect si este "permis" sa faci symlink, tot nu te ajuta cu nimic.

Merge link-ul de mai sus.

E atat de neinteresant, incat nu o sa te ia nimeni peste picior.