Riconnessione con JDownloader e router Netgear WNDR3700
Rieccoci con un nuovo post!
Da poco ho acquistato un router Netgear WNDR3700 ( che probabilmente sarà fonte di ispirazione di vari nuovi post ) e la terza cosa che ho fatto, dopo la configurazione della connessione ad Internet e della wireless è stata aggiornare il firmware, portandolo all'ultima release al momento attuale ovvero la V1.0.4.68. Avendo sostituito il vecchio router lo script di configurazione di JDownloader doveva anch'esso essere modificato ma con mia grande sorpresa ho notato che non era presente il mio nuovo gioiellino tra i router con lo script preconfezionato nel programma.
Usare Firefox come un browser per cellulari
Prendendo spunto da questo recentissimo post che ho scritto in merito ad un servizio per l'invio gratuito di SMS dal web vi voglio proporre questo piccolo trucco per aggirare il sistema e inviare i messaggi anche dal vostro PC.
Siccome il servizio è browser-based ed è in pratica una pagina HTML con il supporto dietro di un server esso dovrebbe funzionare su qualunque programma che gestisca il protocollo HTTP, quindi anche il browser del vostro computer, Firefox ad esempio 
L'inghippo sta nella stringa USER AGENT che Firefox invia. Firefox infatti si identifica al server web con la stringa:
Mozilla/5.0 (Windows; U; Windows NT 6.1; it; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)
Tale stringa identifica chiaramente un sistema che non è un cellulare.
Ma veniamo ora al sodo.
Automatizzare Firefox con iMacros
Oggi cercavo una soluzione rapida per automatizzare alcune operazioni in Firefox. Tipicamente questo genera di cose le faccio attraverso uno script in PERL ma stavolta la situazione era un po' più complessa del solito e sinceramente volevo anche provare qualcosa di nuovo. Lì per lì ho cercato in lungo e in largo un modo per "scriptare" Firefox che fosse il più completo possibile ma senza dover andare a scrivere un'estensione ad-hoc. Dopo lunghe peripezie sono giusto a iMacros, un'estensione che dota il nostro amato browser di un sistema di macro.
Un nuovo attacco a WPA in pochi minuti decifra il traffico
Due ricercatori dell'università di Kobe, Ohigashi e Morii, hanno affinato la tecnica sfruttata dalla ricerca precedente portata avanti da Beck e Tews per approntare un attacco di tipo MITM ( Man In The Middle ) in gradi di decifrare i pacchetti trasmessi tra il client e l'access point nel tempo di circa 1 minuto.
L'attacco è delineato in un PDF pubblicato dagli stessi ricercatori e disponibile qui.
Mentre l'attacco precedente si concentrava sui dispositivi Wi-Fi con supporto allo standard QoS iee802.11e ( un sottoinsieme ) il nuovo attacco studiato all'università di Kobe è studiato per funzionare con tutte le installazioni Wi-Fi che utilizzino il protocollo WPA con cifrario TKIP. Sono invece al sicuro ( almeno per ora ) gli utenti che utilizzano WPA con il più sicuro AES ( Advanced Encryption Standard ) o ancor meglio il protocollo WPA2. L'accoppiata WPA/TKIP venne studiata come soluzione di transizione dopo la scoperta della debolezza del precedente standard WEP ed ora si cominciano a vedere le prime crepe.
Per tutti quelli che hanno una rete wireless a casa il consiglio è di controllare le proprie impostazioni per assicurarsi di usare AES e non TKIP oppure, meglio, WPA2.
SQL Injector MT, un piccolo tool per l’exploit di falle Blind SQL Injection
Dopo un lungo sviluppo ho deciso che il mio personalissimo tool, da me con poca fantasia denominato SQL Injector MT, è pronto per essere pubblicato e donato alla rete. Ce ne sono tanti di questi programmini, più o meno complessi, con o senza interfaccia grafica, con o senza il supporto al multithreading. Quindi, vi chiederete voi, a cosa serviva farne un altro?
Damn Vulnerable Web App, un banco di prova per novelli pentester
DVWA, acronimo di Damn Vulnerable Web App, è un'applicazione Web scritta in PHP che ha una particolarità: è zeppa di vulnerabilità 
Lo scopo di un'applicazione di questo tipo è di servire come banco di prova per i novelli pentester ( o per colore che vorrebbero diventarlo ) nella scoperta di vulnerabilità e di modi per sfruttarle ( i cosiddetti exploit ). Le categorie di vulnerabilità presenti nell'applicazione sono:
- SQL Injection
- XSS (Cross Site Scripting)
- LFI (Local File Inclusion)
- RFI (Remote File Inclusion)
- Command Execution
- Script Upload
- Login Brute Force
Potete scaricare Damn Vulnerable Web App dalla pagina del progetto su SourceForge.net.
NOTA IMPORTANTE:
E' vivamente sconsigliato installare questa applicazione su server accessibili da Internet in quanto, non sorprendentemente, è vulnerabile Consiglio piuttosto un'installazione locale di XAMPP come piattaforma di test.