Questo sito utilizza cookies solo per scopi di autenticazione sul sito e nient'altro. Nessuna informazione personale viene tracciata. Leggi l'informativa sui cookies.
Username: Password: oppure
Tutto e di + - E
Forum - Tutto e di + - E

Avatar
VaLeRiO (Ex-Member)
Pro


Messaggi: 114
Iscritto: 28/06/2008

Segnala al moderatore
Postato alle 23:42
Mercoledì, 29/10/2008
Chiedo agli admin:

Ho quasi completato il programma in Java per il cracking di un sito Web attraverso il flodding delle form.

Funziona che è una meraviglia e fa casino ovunque può.

La domanda è: è il caso di uploadare il programma o in quanto "pericoloso" conviene non farlo? Non vorrei che in seguito ad un uso poco didattico da parte di qualcuno venissero fuori casini per Piero o per me.

Che dite? Mi piacerebbe condividerlo ma non deve essere un "pericolo".

Ciao

Ultima modifica effettuata da VaLeRiO il 29/10/2008 alle 23:42
PM Quote
Avatar
P4p3r0g4 (Member)
Guru


Messaggi: 1319
Iscritto: 29/12/2006

Segnala al moderatore
Postato alle 0:50
Giovedì, 30/10/2008
sicuramente puoi pubblicarlo. non sei responsabile dell'uso sbagliato di un programma da te codificato.
anche perche` potrebbe interessare per imparare vulnerabilita` e quindi metodi di prevenzione.

PM Quote
Avatar
pierotofy (Admin)
Guru^2


Messaggi: 6230
Iscritto: 04/12/2003

Segnala al moderatore
Postato alle 10:08
Giovedì, 30/10/2008
Se può essere veramente pericoloso, commenta fuori le righe di codice che sono più pericolose. Ad esempio in Beatrix il modulo che si occupava di riempire al massimo la RAM è stato commentato fuori in maniera da non essere utilizzabile direttamente dall'eseguibile.

Oppure siccome è un programma basato sul flodding, magari aggiungi una riga di sleep che rallenta il suo operato.


Il mio blog: https://piero.dev
PM Quote
Avatar
VaLeRiO (Ex-Member)
Pro


Messaggi: 114
Iscritto: 28/06/2008

Segnala al moderatore
Postato alle 12:19
Giovedì, 30/10/2008
Funziona così:

Uno Spider (Web-Crawler) scannerizza il sito alla ricerca di tutte le pagine che contiene (seguendo i links).

Trovata una nuova pagina la notifica ad un ascoltatore.

Nell'ascoltatore viene avviato il Parsing della pagina allo scopo di cercare delle form, la action, e i relativi parametri.

Se il Parsing ha successo viene passato tutto al PageCracker che si occupa di generare stringhe da inviare come parametri alla action precedentemente trovata. Fa ad esempio 5 Thread per pagina con 20 flood di form per Thread.

Quello che si avrebbe nel complesso è, in pochi minuti, un sito pieno di fuffa immessa nel sito attraverso le form.

In siti senza controlli specifici (sul tempo o sul contenuto dei parametri) farebbe un disastro.

Bello no ? Allora commento tutto il codice per spiegare come funziona.

Dove potrei mettere dei "blocchi"? In quale fase del programma?

PM Quote
Avatar
punkettone90 (Member)
Expert


Messaggi: 279
Iscritto: 16/05/2007

Segnala al moderatore
Postato alle 14:21
Giovedì, 30/10/2008
oltre al flooding quel programma li può compiere danni anche tramite l'invio di input imprevisto quindi dovresti mettere come commenti anche quelle parti.

colgo l'occasione per domandare se mettendo una messagebox prima dell'avvio del programma, scrivendo una specie di liberatoria, se si è comunque a rischio di guai se uno usa il programma in modo improprio

PM Quote
Avatar
P4p3r0g4 (Member)
Guru


Messaggi: 1319
Iscritto: 29/12/2006

Segnala al moderatore
Postato alle 16:25
Giovedì, 30/10/2008
ripeto a meno che non scriviate "usate questo programma per fare danni" oppure non forniate appositamente a qualcuno questo programma per fare danni dovreste essere salvi.
il problema sussiste se il programma e` impostato per fare cose dannose.
ad esempio non puoi mettere nel "default" un sito non tuo.
come non puoi riempirlo di malware.

PM Quote