Title: Bancos vulneraveis a SQL Injection ?!
Post by: Mental_Way on 01 de July , 2008, 02:23:12 AM
Post by: Mental_Way on 01 de July , 2008, 02:23:12 AM
Hello darkers,
Depois de um tempo ausente, observei que alguns dos participantes aqui do forum colocaram algumas falhas em sites como o bradesco e caixa economica federal, ou seja sistemas bancarios conhecidos.
Então resolvi liberar algumas falhas em bancos que naum tinha divulgado, falhas simplês, mais que causam um estrago consideravel se bem manipuladas, e adivinhem de que? ops SQL Injection... Para todos que dizem por aew que SQL naum existe mais (por que dizem que 'or 1=1 naum tem mais em lugar nenhum, no comments), e por que naum conheçem o poder dessa técnica cuja vulnerailidade pode ser encontrada em milhares de sites conhecidos.
Então estou divulgando agora um conteudo interessante, para os curiosos de plantão.
Bradesco:
http://www.bradescoimoveis.com.br/conte ... umentos%27 (http://www.bradescoimoveis.com.br/conteudo/content.aspx?id=6&t=f&menu=2&cnt=Documentos%27)
Unibanco:
http://www.unibanco.com.br/simuladoresu ... p?letra=L' (http://www.unibanco.com.br/simuladoresubb/ajd/dic/pop/index.asp?letra=L')
Banrisul:
http://www.mzweb.com.br/banrisul/web/co ... &id=36492' (http://www.mzweb.com.br/banrisul/web/conteudo_pt.asp?idioma=0&tipo=8223&conta=28&id=36492')
Banco Pine
http://ri.bancopine.com.br/bancopine/we ... u=2&img=1' (http://ri.bancopine.com.br/bancopine/web/conteudo_pt.asp?idioma=0&tipo=900&submenu=2&img=1')
Estou divulgando apenas esses sites, mais tem muitos outros....
Muitas vezes tenho medo de mostrar essas falhas que sempre tem uns bankers de plantão atras de coisas do tipo, ou pessoas que utilizem essa informação de maneira errada..
Apesar de tudo acho que muitas pessoas tem acesso a essas falhas. Ja que muitas tenho desdo o ano passado.
OBS: O wuefez deve odiar isso ja que definitivamente ele naum vai com a minha cara, mais não espero que ele comente um topico fuleiro desse.
Não façam mal uso dessa informação.
Ate mais a todos.
Mental_Way
Depois de um tempo ausente, observei que alguns dos participantes aqui do forum colocaram algumas falhas em sites como o bradesco e caixa economica federal, ou seja sistemas bancarios conhecidos.
Então resolvi liberar algumas falhas em bancos que naum tinha divulgado, falhas simplês, mais que causam um estrago consideravel se bem manipuladas, e adivinhem de que? ops SQL Injection... Para todos que dizem por aew que SQL naum existe mais (por que dizem que 'or 1=1 naum tem mais em lugar nenhum, no comments), e por que naum conheçem o poder dessa técnica cuja vulnerailidade pode ser encontrada em milhares de sites conhecidos.
Então estou divulgando agora um conteudo interessante, para os curiosos de plantão.
Bradesco:
http://www.bradescoimoveis.com.br/conte ... umentos%27 (http://www.bradescoimoveis.com.br/conteudo/content.aspx?id=6&t=f&menu=2&cnt=Documentos%27)
Unibanco:
http://www.unibanco.com.br/simuladoresu ... p?letra=L' (http://www.unibanco.com.br/simuladoresubb/ajd/dic/pop/index.asp?letra=L')
Banrisul:
http://www.mzweb.com.br/banrisul/web/co ... &id=36492' (http://www.mzweb.com.br/banrisul/web/conteudo_pt.asp?idioma=0&tipo=8223&conta=28&id=36492')
Banco Pine
http://ri.bancopine.com.br/bancopine/we ... u=2&img=1' (http://ri.bancopine.com.br/bancopine/web/conteudo_pt.asp?idioma=0&tipo=900&submenu=2&img=1')
Estou divulgando apenas esses sites, mais tem muitos outros....
Muitas vezes tenho medo de mostrar essas falhas que sempre tem uns bankers de plantão atras de coisas do tipo, ou pessoas que utilizem essa informação de maneira errada..
Apesar de tudo acho que muitas pessoas tem acesso a essas falhas. Ja que muitas tenho desdo o ano passado.
OBS: O wuefez deve odiar isso ja que definitivamente ele naum vai com a minha cara, mais não espero que ele comente um topico fuleiro desse.
Não façam mal uso dessa informação.
Ate mais a todos.
Mental_Way
Title: Re: Bancos vulneraveis a SQL Injection ?!
Post by: Zero cool on 01 de July , 2008, 12:01:17 PM
Post by: Zero cool on 01 de July , 2008, 12:01:17 PM
boa Mental_Way como descobriu as falhas usanda scan ou manualmente ?
Title: Re: Bancos vulneraveis a SQL Injection ?!
Post by: Ilmo. Sr. JulianoRossi on 01 de July , 2008, 03:23:52 PM
Post by: Ilmo. Sr. JulianoRossi on 01 de July , 2008, 03:23:52 PM
Olá,
Para quem não sabe, o Banco Santander (um dos que mais dão problemas) tem quase o mesmo sistema que o Bradesco usa, e apresenta os mesmo erros...
O Banco não tem grandes vulnerabilidades, não da para fazer nada de perigoso... são falhas inocentes, não creio que prejudicará os clientes. Simplesmente existe uma grande incompetência, e quem toma conta desde sistema bancário recebem $$ bem mais do que eles merecem.
T+
Para quem não sabe, o Banco Santander (um dos que mais dão problemas) tem quase o mesmo sistema que o Bradesco usa, e apresenta os mesmo erros...
O Banco não tem grandes vulnerabilidades, não da para fazer nada de perigoso... são falhas inocentes, não creio que prejudicará os clientes. Simplesmente existe uma grande incompetência, e quem toma conta desde sistema bancário recebem $$ bem mais do que eles merecem.
T+
Title: Re: Bancos vulneraveis a SQL Injection ?!
Post by: Wuefez on 01 de July , 2008, 04:16:36 PM
Post by: Wuefez on 01 de July , 2008, 04:16:36 PM
Quote from: "hackermamute"Olá,
Para quem não sabe, o Banco Santander (um dos que mais dão problemas) tem quase o mesmo sistema que o Bradesco usa, e apresenta os mesmo erros...
O Banco não tem grandes vulnerabilidades, não da para fazer nada de perigoso... são falhas inocentes, não creio que prejudicará os clientes. Simplesmente existe uma grande incompetência, e quem toma conta desde sistema bancário recebem $$ bem mais do que eles merecem.
T+
O do Bradesco Imóveis é o mais fácil de ownar....
AUHSASAHUHAUSSAYGSGYASAGY
edit:
Eu to bolado mesmo porque além de ser vuln, o Bradesco é easy demais de ownar... Será que é trap isso? Sei lá.. O db deles é enorme, pra ir na mão vo demora horas pra mapea isso.....
PS: não testei escrita ainda!
Title: Re: Bancos vulneraveis a SQL Injection ?!
Post by: Mental_Way on 01 de July , 2008, 07:02:22 PM
Post by: Mental_Way on 01 de July , 2008, 07:02:22 PM
Zero cool,
Usando um scan que eu codei... [:D]
Tem milhares de sites aew, ate o msn, yahoo vul a sql...
Usando um scan que eu codei... [:D]
Tem milhares de sites aew, ate o msn, yahoo vul a sql...
Title: Re: Bancos vulneraveis a SQL Injection ?!
Post by: otavi0 on 02 de July , 2008, 01:29:35 PM
Post by: otavi0 on 02 de July , 2008, 01:29:35 PM
Mental_Way
Qual lingaguem voce codou o scan?
Qual lingaguem voce codou o scan?
Title: Re: Bancos vulneraveis a SQL Injection ?!
Post by: Mental_Way on 02 de July , 2008, 07:49:07 PM
Post by: Mental_Way on 02 de July , 2008, 07:49:07 PM
otavi0,
Ele é codado em perl, asp e php...
Mais uso mais em perl mesmo..
Ele é codado em perl, asp e php...
Mais uso mais em perl mesmo..
Title: Re: Bancos vulneraveis a SQL Injection ?!
Post by: corvod on 18 de July , 2008, 10:10:32 AM
Post by: corvod on 18 de July , 2008, 10:10:32 AM
joga o scan pra nois baixa ae haHAuhU
Title: Re: Bancos vulneraveis a SQL Injection ?!
Post by: Sh0rtKiller on 18 de July , 2008, 06:38:06 PM
Post by: Sh0rtKiller on 18 de July , 2008, 06:38:06 PM
sim sql ainda existem pois os webmaster querem simplificar colocando caracters como # e aontece a falha e concerteza nao e facil pegao o db deles pois existem empresas com esses db hospedados e posso garantir q e enorme pois essas empresas tem hds de tera byte bem legal hehe flws