Mostrando entradas con la etiqueta don't be evil. Mostrar todas las entradas
Mostrando entradas con la etiqueta don't be evil. Mostrar todas las entradas

11 septiembre 2012

SQLI a tutiplén !

Según OWASP, las vulnerabilidades de tipo SQL Injection están en el primer lugar de su particular TOP de problemas en aplicaciones web y, ciertamente, son un tipo de vulnerabilidad con unas implicaciones peliagudas.

En aras de 'concienciar', desde hace algún tiempo hay disponibles aplicaciones realmente asombrosas que permiten localizar servidores web en internet que padezcan de vulnerabilidades de tipo SQLI.

Su funcionamiento es muy sencillo, por un lado emplean 'Google Dorks' para localizar aplicaciones cuyas URLs tengan patrones sospechosos (la típica aplicación con un blabla.php?id=) y de entre todas los sites localizados, identifica cuales son efectivamente vulnerables.

SQLI HUNTER v1.1

Esta herramienta, escrita en VB 2.0, tiene un juego de 'Dorks' bastante amplio y permite localizar fácilmente aplicaciones en internet susceptibles de ser vulnerables a SQLI.

El autor ha publicado un vídeo bastante completo sobre como usar la herramienta


Dork Searcher

La mecánica de 'Dork Searcher' es parecida a 'SQLI HUNTER', también emplea Google Dorks para localizar aplicaciones que sean vulnerables, pero además, para funcionar requiere que tengas configurado TOR para poder realizar la búsqueda de forma anónima.

Está escrita en .NET y luce así



Sin duda dos herramientas muy útiles para 'concienciar' y 'concienciarse' sobre la enorme cantidad de servidores vulnerables que hay conectados a Internet


Leer más...

23 febrero 2012

Ea Ea Ea, Google se cabrea !

Para poner en antecedentes, el martes pasado presentábamos nuestra prueba de concepto sobre Bouncer, el sistema anti-malware de Google que teóricamente limpiara el market.

Como tal, fue una prueba de concepto, simplemente subimos la aplicación al market, dejamos que bouncer hiciese su trabajo y se retiró del market, no estaba accesible para descarga ya que el objetivo, evidentemente, no era 'troyanizar' a nadie.

El caso es durante el día tuvimos una serie de visitas desde Google un tanto extrañas, como nos mostraba statcounter:


Como se puede ver, visitas desde Google directas a nuestro post. Y no, no son del bot-araña de Google por varios motivos:

1- El bot NO se identifica a si mismo como navegador Chrome
2- El bot NO se identifica a si mismo como sistema operativo Mac
3- El bot NO renderiza el javascript de statcounter (que es el que cuenta las visitas)

Hasta aquí nada importante salvo porque al rato, me llega a mi cuenta de correo lo siguiente:

This is a notification that the application, Sexy Girl, with package ID com.kamasutraplus has been removed from Android Market due to a violation of Android Market developer terms. It has come to our attention that this application could be used in a way that is harmful to devices, networks, or users.

For specific policies pertaining to this suspension, please see:
Developer Distribution Agreement:
4.3 Use of the Market by You
4.4 Prohibited Actions
Content Policy:
Malicious Products

Please fully review the Content Policies, Developer Distribution Agreement, and Business and Program Policies before you create or upload additional applications. Please also consult our guidelines on rating your application.

Please be advised that this or additional violations may result in a suspension of your Android Market Publisher account, and may also result in actions, including possible suspension, taken against any associated Android Market Publisher, AdSense, Google Checkout, or AdMob accounts.

To appeal this decision, you may reply to this email, or visit the Android Market Help Center for additional information.

Thanks,
The Android Market Team

Lo que significa que:

1- De entrada eliminan toda evidencia de la aplicación (normalmente cuando se des-publica una aplicación sigue estando en el panel del desarrollador)
2- Bromas las justas, si decido persistir en hacer esa clase de pruebas, mi cuenta será cancelada.

Ya sabéis, a partir de ahora si Google dice que el market es inviolable, ver, oír y callar
Leer más...