Mostrando entradas con la etiqueta Seguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta Seguridad. Mostrar todas las entradas

martes, 18 de diciembre de 2012

Simple PHP Obfuscator

Publicado por OverNet en martes, diciembre 18, 2012 ,

PHPc0de: Obfuscation

Una herramienta simple para obfuscar o encriptar cualquier código en PHP; HTML/TXT. La finalidad de obfuscar es evitar que otras personas puedan ver el código fuente original directamente desde el archivo, para hacerlo tendrán que desencriptar el código obfuscado. 
* También se puede descodificar
Los desarrolladores web suelen proteger su código fuente o más bien dicho su propiedad intelectual obfuscando el código y así evitar que cualquier neófito pueda modificar el código a su gusto.

Code Source PHP



 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<!-- Coded By OverNET -->
<title>PHPc0de => Obfuscation!</title>
<center>
<h1>Obfuscar codigo PHP &amp; HTML/TXT</h1>
<? $file = $_POST['obfuscar'];
$gestor = stripslashes($file);
// Función (base64_encode(gzdeflate());
$texto = base64_encode(gzdeflate($gestor));?>

<form method="POST"><p>
<textarea name="obfuscar" cols="50" rows="10" id="xd"><? 
if($file) {
$_POST['obfuscar'];
echo $gestor;
}else{
 print 'Escriba texto o codigo';
}
?>
</textarea>
  </p>
  <p>
    <input type="submit" name="obfuscarme" value="                             Obfuscar!                           " />
  </p><b>
  <p>Texto ofuscado:</p>
  <p>
  <label for="textarea"></label>
    <textarea cols="50" rows="5" readonly="readonly" id="obfuscar"><?php if($file) {$_POST['obfuscar'];echo "<? eval(gzinflate(base64_decode('".$texto."'))); ?>";}else{
 echo 'Haga clic en el boton -Obfuscar!- para codificar!';}
?></textarea>
  </p>
</form>
<? 
## Prueba de codificación (Copyright) x3
eval(gzinflate(base64_decode('DcnNDkMwAADgx8HN/yqLg5gtaDdSHHZZrK3GT5hiok+/fdePfetB5bIdm6FemfquF+baL8rIRJmq4MOA8n6NBRAIgzWB0VjhaFqKrpRt6SUFcTJMq9xzTwjMzgF5n1JaWMKKTY/vj/bg2Yz3LSS9mdYOEnyKIQEztZ7y/4IcOxQd3orQti7oo4eSmnhkekWb0oD5LQh8X9E07fwD'))); ?>
</center>
<!-- Coded By OverNET -->

Etiquetas: , , ,

sábado, 22 de octubre de 2011

Tutorial XSS para principiantes - PDF

1 comentarios, Publicado por OverNet en sábado, octubre 22, 2011 ,
Alert() XSS

Este es un tutorial que esta muy bien explicado sobre todo de como explotar e ir más allá de un simple alert() se los recomiendo a cualquiera.

Archivo/Formato: PDF
Peso: 267.6KB
Descargar / Ver | Tutorial de XSS para principiantes by Tec-n0x

Etiquetas: , , , ,

martes, 2 de agosto de 2011

FullScreen Java Applet

0 comentarios, Publicado por OverNet en martes, agosto 02, 2011 ,
FullScreen Java Applet [Hack]
Browser Web Vulnerability (PoC) 

Java Applet logo
He encontrado un articulo interesante sobre como ejecutar Java Applet desde el navegador, pero este no es un simple programa. El código que viene más adelante nos permite ejecutar la aplicación mostrándonos y tapando casi toda la ventana de nuestro Navegador Web, sin embargo, este código puede ser utilizado por diferentes técnicas:
  • Publicidad
  • Phishing
  • File Infection
  • User collect data
  • Defacement
  • Etc..
Sin embargo, tiene varios años este bug no ha sido parchado actualmente y aunque aseguran los de SDN (Sun Developer Network) estarán trabando en arreglarlo.
Leer más.. »

Etiquetas: , , , ,

viernes, 29 de julio de 2011

Web Antivirus - Sistema de Antivirus Web

1 comentarios, Publicado por OverNet en viernes, julio 29, 2011 ,
Hi-Coder Web Antivirus
Hi-Coder Web Antivirus es una herramienta de seguridad web dedicada a los webmasters que nos permite detectar cualquier tipo de codigo malicioso como las PHP Shells, Backdoors y sin embargo, también nos ayuda a detectar cualquier clase de bugs en PHP Scripts así como RFI, LFI, SQL injection, XSS, etc.

Screenshots:
Hi-Coder Antivirus Web
Hi-Coder Antivirus Web: Scan - Results
Hi-Coder Antivirus - Virus and bugs no found
Leer más.. »

Etiquetas: , , ,

lunes, 25 de julio de 2011

Damn Vulnerable Web Application (DVWA)

0 comentarios, Publicado por OverNet en lunes, julio 25, 2011 ,
Damn Vulnerable Web Application (DVWA) es una aplicación desarrollada en PHP/MySQL, nos permite conocer, explotar, descubrir algunas vulnerabilidades web , sin embargo, esta aplicación nos ofrece varias opciones del nivel de seguridad bajo, medio y alto.

Damn Vulnerable Web Application
DVWA (Damn Vulnerable Web Application) nos permite llevar a cabo diferentes técnicas, entre ellas son las siguientes
  • SQL Injection
  • XSS (Cross Site Scripting)
  • LFI (Local File Inclusion)
  • RFI (Remote File Inclusion)
  • Command Execution
  • Upload Script
  • Login Brute Force
*Requiere Apache o XAMP (Host Local)
Les dejo un video de Ethicalhacker sobre su uso e instalación de DVWA

 

Descarga | Damn Vulnerable Web Application (DVWA)
Sitio oficial |  DVWA


Etiquetas: , , ,

sábado, 23 de julio de 2011

Tutorial de Inyección SQL para principiantes

76 comentarios, Publicado por OverNet en sábado, julio 23, 2011 ,
Primero y antes que nada, debemos saber muy bien los conceptos de cada uno que tocaremos en este tema.

SQL Injection - Tutorial by OverNET
¿Qué es SQL?
Significa un Lenguaje de Consulta Estructurado (en ingles Structured Query Languaje). Como su nombre lo indica es un lenguaje para tener acceso a una Base de Datos que nos permite realizar varias operaciones en ella, como poder guardar información privada de un sitio web, contraseñas, nombres, y otras cosas.

Sin embargo, muchos CMS Sistema de Gestión de Contenidos (en ingles Content Management System) utilizan SQL para acceder a una Base de Datos (PhpMyAdmin) y guardar información.

CMS (Sistema de Gestión de Contenidos) no es ningún tipo de programa literalmente, sin embargo, es programado para que los usuarios tengan la facilidad de crear su pagina web utilizando una base de datos.
Algunos CMS son muy populares como lo son; SMF, Wordpress, y Blogger entre otros.

¿Y qué significa SQLi?
Son la abreviatura de SQL Injection. Aunque, SQLi es un bug bastante viejo, existen CMS o páginas web con esta vulnerabilidad.

Debido que es un post para principiantes y un poco largo, no iré muy a fondo sobre los conceptos, por eso mejor aquí la dejamos y vamos al tutorial.

¿Donde puedo encontrar paginas vulnerables a SQLi?
En Google, sin embargo, existen Dorks (Palabras claves para poder encontrar CMS vulnerables con facilidad). De cualquier manera no es muy difícil encontrar sitios (Probablemente) vulnerables a SQLi.


Logotipo de Google
Solo es cuestión de ingeniarse las palabras claves para encontrar sitios Web con este bug.  
¿No entendiste? La Inyección SQL se empieza por encontrar en una url muy parecido a esto: /index.php?id=28, sin embargo, la inyección se comienza en la variable id=28.
Leer más.. »

Etiquetas: , , , ,

martes, 19 de julio de 2011

NetStat Agent v3.0.2 - Encuentra conexiones remotas de tu red

5 comentarios, Publicado por OverNet en martes, julio 19, 2011 ,
NetStat Agent realiza diagnósticos de conexiones de red y problemas de conexión en un segundo.
Combinando un mejorando un grupo de funciones proveídas por las utilidades de comando en línea, el NetStat Agent reúne toda la información sobre la red y la configuración en un mismo lugar.

NetStat Agent v3.0.2

Nunca necesitarás utilizar el netstat, arp, ipconfig, ping, traceroute, nslookup o el whois de las líneas de comando.

Descargar | NetStat Agent v3.0.2 Portable

Etiquetas: , , ,

viernes, 1 de julio de 2011

Evitar XSS/Html Injection en formularios [PHP] Básico

5 comentarios, Publicado por OverNet en viernes, julio 01, 2011 ,
Un pequeño tutorial sobre como evitar XSS y/o Html Injection en formularios PHP (Básico)

¿Que es XSS? (Wikipedia)

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.


¿Qué es HTML Injection? (Otras fuentes)

Inyección de HTML se refiere a la inserción de código HTML en una respuesta de servidores web de alterar el contenido al usuario final. Esto es también conocido como Cross Site Scripting.

No explicaré sobre la explotación de este bug, ya que solo vamos explicar sobre como evitarla y no ser victima de alguna persona malintencionada.
Un ejemplo sencillo:
Código Java Script inyectado en un input (Alert en JS)
Codigo Java Script en la barra de direcciones


En la imagen de arriba se observa, que en un formulario (Input) se logró inyectar un codigo Java Script y al ser ejecutada nos muestra una ventana diciendo "Owned by Benito Bodoke!" (una alerta).

Leer más.. »

Etiquetas: , , ,

viernes, 31 de diciembre de 2004

NetStat Agent v3.0.2 Portable

0 comentarios, Publicado por OverNet en viernes, diciembre 31, 2004 ,
NetStat Agent realiza diagnósticos de conexiones de red y problemas de conexión en un segundo.
Combinando un mejorando un grupo de funciones proveídas por las utilidades de comando en línea, el NetStat Agent reúne toda la información sobre la red y la configuración en un mismo lugar.

NetStat Agent v3.0.2

Nunca necesitarás utilizar el netstat, arp, ipconfig, ping, traceroute, nslookup o el whois de las líneas de comando.

Descargar | NetStat Agent v3.0.2 Portable

Etiquetas: , , , ,