– root@injetionsec:~#

Apache Vulnerável no projeto Shindig

27.10.2013 (4:46 pm) – Filed under: Noticias ::

gadget-server

De acordo com Ryan Baxter o Apache Shindig afeta versão do PHP 2.5.0, a vulnerabilidade e uma injeção que segundo a WOASP e um vulnerabilidade que se conrrompidas pode levar a informações confidencias e outros impactos e mais sistemas .

E bom que os desenvolvedores  atualizem para versão mais recente do software .Como outros software o Shindig é um projeto open source com um entrada de JavaScript que permite aos usuários hospedar aplicativos OpenSocial em seus sites. Na semana passada uma atualização para o framework Struts foi corrigido duas vulnerabilidades importantes.

 

Fonte : Threatpost

[introdução] Conceitos & Metodologias do Metasploit

27.10.2013 (1:04 pm) – Filed under: Pentest ::

msfconsole

* Metasploit Framework : E uma ferramenta livre com codigo de fonte aberto para pentest começou por H.D Moore em 2003 e foi posteriormente adquirido pelo Rapid7, e escrito em Ruby e tem maior banco de dados de exploit e mais de 1 milhão de dowloads a cada ano.

* Vulnerabilidade: E uma fraqueza que permite q o atacante/pentest quebre , essa fraqueza pode existir em sitema, aplicativo de software, redes de protocolos e etc.

* Exploit: E um codigo que permite que um atacante/pentest possa tirar vantagem de uma vulnerabilidade do sistema e comprometer sua segurança, cada vulnerabilidade tem seu proprio exploit, o metasploit tem mais de 700 exploits

* Payload: E o atual codigo que faz o trabalho de executar sobre o sistema apos a exploração, sao principalmente usado para definir uma ligação entre o atacante e a vitima , o metasploit tem mais de 200 payload.

* Módulos:  Sao componentes pequenos que executam uma tarefa especifica, a maior vantagem de tal e que torna facil os desenvolvedores se integrarem com um novo exploit e essas ferramentas.

O metasploit tem uma arquitetura modular como payload, exploits, encoders, nops, auxiliares os módulos são separados como,veja a figura abaixo:

Captura_de_tela-13

Em si o metasploit utiliza diferentes bibliotecas que possuem a chave para o bom funcionamento do framewaork.