Bancos vulneraveis a SQL Injection ?!

Mental_Way · 01 de Julho , 2008, 02:23:12 AM

Hello darkers,

Depois de um tempo ausente, observei que alguns dos participantes aqui do forum colocaram algumas falhas em sites como o bradesco e caixa economica federal, ou seja sistemas bancarios conhecidos.

Então resolvi liberar algumas falhas em bancos que naum tinha divulgado, falhas simplês, mais que causam um estrago consideravel se bem manipuladas, e adivinhem de que? ops SQL Injection... Para todos que dizem por aew que SQL naum existe mais (por que dizem que 'or 1=1 naum tem mais em lugar nenhum, no comments), e por que naum conheçem o poder dessa técnica cuja vulnerailidade pode ser encontrada em milhares de sites conhecidos.

Então estou divulgando agora um conteudo interessante, para os curiosos de plantão.

Bradesco:
http://www.bradescoimoveis.com.br/conte ... umentos%27

Unibanco:
http://www.unibanco.com.br/simuladoresu ... p?letra=L'

Banrisul:
http://www.mzweb.com.br/banrisul/web/co ... &id=36492'

Banco Pine
http://ri.bancopine.com.br/bancopine/we ... u=2&img=1'

Estou divulgando apenas esses sites, mais tem muitos outros....

Muitas vezes tenho medo de mostrar essas falhas que sempre tem uns bankers de plantão atras de coisas do tipo, ou pessoas que utilizem essa informação de maneira errada..

Apesar de tudo acho que muitas pessoas tem acesso a essas falhas. Ja que muitas tenho desdo o ano passado.
OBS: O wuefez deve odiar isso ja que definitivamente ele naum vai com a minha cara, mais não espero que ele comente um topico fuleiro desse.

Não façam mal uso dessa informação.

Ate mais a todos.

Mental_Way

Zero cool · 01 de Julho , 2008, 12:01:17 PM

boa Mental_Way como descobriu as falhas usanda scan ou manualmente ?

Ilmo. Sr. JulianoRossi · 01 de Julho , 2008, 03:23:52 PM

Olá,

Para quem não sabe, o Banco Santander (um dos que mais dão problemas) tem quase o mesmo sistema que o Bradesco usa, e apresenta os mesmo erros...

O Banco não tem grandes vulnerabilidades, não da para fazer nada de perigoso... são falhas inocentes, não creio que prejudicará os clientes. Simplesmente existe uma grande incompetência, e quem toma conta desde sistema bancário recebem $$ bem mais do que eles merecem.

T+

Wuefez · 01 de Julho , 2008, 04:16:36 PM

Citação de: "hackermamute"Olá,

Para quem não sabe, o Banco Santander (um dos que mais dão problemas) tem quase o mesmo sistema que o Bradesco usa, e apresenta os mesmo erros...

O Banco não tem grandes vulnerabilidades, não da para fazer nada de perigoso... são falhas inocentes, não creio que prejudicará os clientes. Simplesmente existe uma grande incompetência, e quem toma conta desde sistema bancário recebem $$ bem mais do que eles merecem.

T+

O do Bradesco Imóveis é o mais fácil de ownar....

AUHSASAHUHAUSSAYGSGYASAGY

edit:
Eu to bolado mesmo porque além de ser vuln, o Bradesco é easy demais de ownar... Será que é trap isso? Sei lá.. O db deles é enorme, pra ir na mão vo demora horas pra mapea isso.....

PS: não testei escrita ainda!

Mental_Way · 01 de Julho , 2008, 07:02:22 PM

Zero cool,

Usando um scan que eu codei... [:D]

Tem milhares de sites aew, ate o msn, yahoo vul a sql...

otavi0 · 02 de Julho , 2008, 01:29:35 PM

Mental_Way

Qual lingaguem voce codou o scan? ::)

Mental_Way · 02 de Julho , 2008, 07:49:07 PM

otavi0,

Ele é codado em perl, asp e php...

Mais uso mais em perl mesmo..

corvod · 18 de Julho , 2008, 10:10:32 AM

joga o scan pra nois baixa ae haHAuhU

Sh0rtKiller · 18 de Julho , 2008, 06:38:06 PM

sim sql ainda existem pois os webmaster querem simplificar colocando caracters como # e aontece a falha e concerteza nao e facil pegao o db deles pois existem empresas com esses db hospedados e posso garantir q e enorme pois essas empresas tem hds de tera byte bem legal hehe flws