Содержание статьи

 

GmadS

Для выявления структуры сайта мы часто используем различные инструменты, но при этом забываем, что в большинстве случаев до нас эту работу сделали индексирующие роботы Google’а. Паук поисковой машины заглядывает в такие места, куда обычному смертному не добраться. Сервис GmadS, в свою очередь, использует кропотливость поисковика и пытается вытащить максимум информации о сайте из базы Гугла. Дальше строится полное дерево структуры сайта. За считанные секунды. Кроме того, сканер выводит запрещенные к индексированию директории ресурса, отображает список сайтов, которые также размещены на этом хосте (ReverseIP), и собирает некоторую служебную информацию о сервере.

 

Heap spray generator

В прошлом году мы не раз упоминали прием Heap Spraying, который используется многими сплоитами. Его можно эксплуатировать для удаленного исполнения кода, когда уязвимая программа (например, IE) по какой-то причине обращается к несуществующему участку памяти, находящемуся в адресном пространстве кучи. Мы можем заполнить кучу одинаковыми блоками, состоящими из последовательности NOP-команд (отсутствие операции) и шелл-кода. Если переход будет выполнен на один из таких NOP’ов, то выполнение будет «скользить» по цепочке NOP до тех пор, пока не наткнется на машинную команду, выполняющую некоторое действие. А поскольку после каждой цепочки NOP’а у нас стоит шелл-код, то именно он и будет выполняться! Heap Spraying реализуется с помощью Java-скрипта, который можно сгенерировать как раз с помощью этого сервиса.

 

Goozzy

Как сделать комментарий для любой страницы? Скажем, работаешь ты с командой людей над некоторым проектом и видишь ошибку на сайте. Вместо того, чтобы пытаться объяснить суть бага словами или делать скриншот, можно воспользоваться метаинтернет-сервисом. Выглядит это так. Для любой страницы, в любом месте ты можешь наклеить стикер с текстом. Например, «Тут ошибка, исправь, пожалуйста!» или «Вот здесь не мешало бы вставить блок с таким-то содержанием». Предметно и прицельно :). И все, кто пользуется этим сервисом, смогут увидеть комментарии. Использовать это тем более удобно за счет того, что Goozzy интегрируется в браузер в виде плагина.

 

HackerTarget

Во времена, когда многие известные приложения мигрируют в облако и предоставляются в качестве сервиса, нет ничего удивительного в появлении cloud-ресурса с хакерскими утилитами. HackerTarget — это настоящий кладезь известных x-toolz, которые размещены на мощном кластере серверов и могут быть использованы любым желающим. Бесплатный набор впечатляет: это сканеры Nmap, OpenVas, SQLiX, sqlmap, Nikto, Joomla Security Scan, Sub Domain Scanner и некоторые fingerprinting-утилиты. Для использования вообще не нужно никакой установки: просто введи параметры сканирования, валидный e-mail (ящик на бесплатных сервисах не прокатит), и отчет о результатах сканирования придет к тебе в ближайшее время.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии