Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: Rojodos en 19 Enero 2005, 07:42 am



Título: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: Rojodos en 19 Enero 2005, 07:42 am
Pues eso  :D

Este scanner funciona a traves de la linea de comandos en windows, y busca vulnerabilidades tanto en PHP, como XSS o SQL injects.

El problema, aunque tiene un "sistema de fitro anti foros", al chequear un foro (yo he chekeado este, y no ha encontrado ningun fallo, probadlo si kereis) es que genera multitud de entradas (tantas como posts, usuarios, etc..) con lo que para esperar que termine nos podemos quedar esperando.

Aki van los links de info, binario y source:

binary: http://overdose.tcpteam.org/rpvs.exe
code source: http://overdose.tcpteam.org/rpvs_src/

Si dejaran de funcionar, yo subiria los archivos, pero por ahora funcionan. A ver si comentais que tal os parecen el escanner :)

Salu2

Nota de ANELKAOS: Remote PHP Vulnerability Scanner no soporta el escaneo de CGI. Aquí os dejo RPVS.exe dentro de un rar.


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: Dragonrojo en 19 Enero 2005, 22:27 pm
Bueno pues lo estoy probando con un foro que yo mismo he creado. Con un par de usuarios y un par de post, sale una ventanita transparente pero como que lleva dos horas y todavia no hay resultados... un pelin lento parece... ya veremos cuando acabe lo que sale y te cuento.


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: Dragonrojo en 21 Enero 2005, 21:07 pm
Bueno pues he escaneado un par o tres, pero en todas me da que no hay vulnerabilidades.
No se, será que no lo hago bien.
Yo escribo
rpvs //pagina con el foro/ -f
o brute -bf
Seguiré provando. Gracias.


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: ciruit en 23 Abril 2006, 18:06 pm
Para los desesperados (como yo) xD:
Me tope con otro scaneador de vulnerabilidades bastante completo, el cual genera pruebas de xss, sql injection, etc... Además tiene un visualizador de variables, un ataque de autentificación, datos del server, http sniffer, entre otras interesantes características.

http://www.acunetix.com

Denle un buen uso, cada uno sabrá como hacerlo.

Saludos!


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: 043h68 en 10 Mayo 2006, 03:23 am


bueno yo busco un scanner parecido pero para linux ...


a ver si alguien conoce alguno asi de bueno para esta plataforma. :)


grax


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: porq en 10 Mayo 2006, 03:53 am
nessus + nikto


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: kerverusxp en 12 Mayo 2006, 19:44 pm
web:
Código:
http://www.acunetix.com/
Descarga:
Código:
http://www.acunetix.com/vulnerability-scanner/vulnerabilityscanner3.exe
Guia:
Código:
http://www.acunetix.com/vulnerability-scanner/wvs3manual.pdf

El programa mensionado es muy bueno no tienen el serial/crack del mismo.


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: agonia en 24 Mayo 2006, 13:19 pm
rojodos ya no van los enlaces  :-(


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: [[__Slack__]] en 26 Mayo 2006, 20:13 pm
rojodos ya no van los enlaces  :-(

Hola...

fijate que ahora el archivo esta adjunto para k lo puedas descargar mira el post de rojodos :D


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: |Azrack| en 26 Mayo 2006, 20:27 pm
man como se usa ?
Citar
use as rpvs.exe http://www.site.com/ [-bf] [-f] [-v] [-aff] [-rapport]

(http://img282.imageshack.us/img282/8340/dibujo2zq.png)


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: ozzmadark en 27 Mayo 2006, 07:31 am
bueno..ahi mismo te lo esta dieciendo...en vez de escribir solo el nombre del programa tienes que acompañarlo por alguna de las opciones que te detalla asi...

por ejemplo donde tu colocas
Código:
c:\rpvs.exe
tendrias que colocar por ejemplo
Código:
c:\rpvs.exe http://www.mbytesecurity.org/ -f

ojo...no lo mire al programa...pero eso es lo que alcanzo a entender con ese screen

Byez


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: JinRoh en 27 Mayo 2006, 15:32 pm
Buenos días! Estoy probando el Acunetix, con la web de un compañero (es PHP Nuke Cops, o eso me dijo), y hay bastantes tipos de Alertas mostradas como :

File Inclusion
Cross Site Scripting
CRLF injection
Broken Links
TRACE Method Enabled.
(http://img68.imageshack.us/img68/3481/alerts8rv.th.jpg) (http://img68.imageshack.us/my.php?image=alerts8rv.jpg)

Realmente soy muy nuevo en eltema de los "escaners" de vulnerabilidades, alguien podria echarme un cable?

Gracias


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: octalh en 27 Mayo 2006, 23:08 pm

El programa mensionado es muy bueno no tienen el serial/crack del mismo.

Lo mismo digo que no aparece por nungun lado  :-(


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: ozzmadark en 28 Mayo 2006, 02:49 am
bueno el segundo programa que nombraron lo baje...pero sin el serial es practicamne te inutil ya que no te deja testear mas que los propios servidores de prueva...yo lo probe hace tiempo ... pero kreo que sigue siendo igual....

El que puso rojodos la verda que todavía no me dio resultados positivos, pero voy a seguir testeando..gracias por los aportes de todas formas

Byezzz


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: JinRoh en 28 Mayo 2006, 13:28 pm
Yo tengo el crack, si lo quieren avisenme, puedo escanear cualquier web, aunque luego no sé hacer nada más jeje


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: .NiXoN. en 28 Mayo 2006, 16:26 pm
Wenas !!  ;D

JinRoh podrias pasar el crack xfavor??  :rolleyes:

Pdroas postear el link donde te lo descargastes o simplemente pasarmelo?

Gracias compañero  ;)


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: JinRoh en 28 Mayo 2006, 16:35 pm
http://www.mininova.org/tor/262395

Ahi les viene el programa y el crack.


Por cierto, aprovecho para pedir ayuda, encontre vulnerabilidades  "File inclusion " y "Cross Site Scripting " de alto riesgo. Si pruebo el metodo que viene en el acunetix (con cookie) funciona en el XSS, (me dice mi cookie) . Alguien podria darme consejo, para por ejemplo poner un codigo para robar la cookie? Saludos y gracias


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: .NiXoN. en 28 Mayo 2006, 16:45 pm
Wenas !!  ;D

JinRoh !! Compañero !! 1º de Todo gracias x contestar tan rapido...decirte que el link:

http://www.mininova.org/tor/262395

No va  :-(

Saludos !!  ;D


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: 19.5 en 28 Mayo 2006, 17:30 pm
Recomiendo un scanner: JAAScois Anti-WebInjection.
Es similar al RPVS pero con interfaz gráfica.


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: ozzmadark en 28 Mayo 2006, 21:33 pm
la decarga anda bien...solo que es un .torrent, descargalo con azureus we

Thankz


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: .NiXoN. en 28 Mayo 2006, 22:53 pm
alguien lo podria pasar a meaupload sin .torrent???

Saludos !!  ;D


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: ozzmadark en 29 Mayo 2006, 04:36 am
Aca lo tienes man
http://www.worldphantom.org/Descargas/Acunetix.zip


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: SheKeL_C$ en 29 Mayo 2006, 17:06 pm
Cuando metais el crack en la carpeta y ejecuteis os recomiendo cerrar los ojos  :-\ :-\












Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: ozzmadark en 29 Mayo 2006, 18:29 pm
hahaha Seken pues la verdad que si.. a mi no me avizaron y me lleve terrible susto :P
Ta que da miedo ese crack xD, Igual esta bueno porque se me habia complicado para encontrar hace unos meses, asi que me ahorre mucho tiempo :P


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: javison en 8 Junio 2006, 10:44 am
que os parece el avanced administrative tools (aatools)  yo lo estoy usando y va muy bien . probarlo.

lo he bajado de la mula , ahora mismo lo tengo sin registrar, ya me pondre a buscar.

salutte!!


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: The_Dark_Wolf en 23 Junio 2006, 20:31 pm
Buenas tardes y saludos a todos

Bueno aki tienen el Acunetix 3.0 con su crack por si no le van los otros linck (a mi no me van  :-X :-[)

Estan en el rapidshare como pueden ver

http://rapidshare.de/files/20724892/Acutenix_3___crack.zip.html

Salu2


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: satan69 en 15 Julio 2006, 06:23 am
Buenas tardes y saludos a todos

Bueno aki tienen el Acunetix 3.0 con su crack por si no le van los otros linck (a mi no me van  :-X :-[)

Estan en el rapidshare como pueden ver

http://rapidshare.de/files/20724892/Acutenix_3___crack.zip.html

Salu2


provando... mmmm... cuidado le metes algun troyano...


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: _anacleto_ en 17 Julio 2006, 11:40 am
El accunetix impresionante lástima que este más enfocado para PHP.

yo he mirado un par de webs de la que se su estructura y no esta nada de mal las cosillas que saca...

Por cierto como funcionan las actualziaciones de las vulnerabilidades... lo habéis probado??? pq a veces si actualizas deja de funcionar el "parche"


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: The_Dark_Wolf en 27 Julio 2006, 04:51 am
Cita de: satan69 l

provando... mmmm... cuidado le metes algun troyano...
[quote

No creo amigo, en este foro creo q somos gente seria


Título: Re: Escaner de vulnerabilidades PHP/XSS/SQL Inject
Publicado por: Pablo75 en 1 Agosto 2006, 21:08 pm
El progama RPVS funciona;acabo de escanear un servidor vulnerable por RFI que encontre hace tiempo y ha reconocido la vulnerabilidad ;D.

Nos vemos!