Академический Документы
Профессиональный Документы
Культура Документы
Primeiramente busquei algumas strings para localizar “e-commerce” segue algumas delas..
allinurl:”.php?pag=”
allinurl:”.php?p=”
allinurl:”.php?content=”
allinurl:”.php?cont=”
allinurl:”.php?c=”
Depois de colocar essas strings (DORK) no google, filtrei para localizar “e-commerce” com a
palavra, “cart” “carrinho” “buy” “compras” entre outros, após a string.
Após localizar “bons alvos” que sem dúvida trariam algumaINFOcc por se tratarem de
e-commerce, filtrei eles para buscar sites que não faziam pagamento através
do pagseguro, paypal, entre outros, no caso empresas que assumem o risco de compra e
fazem tudo por conta própria..
Depois disso foi fácil, coloquei muitas dessas “urls” noacunetix, e fui em busca de
Vulnerabilidades em E-commerces com grande potencial de conversão para infoCC.
Após ter também uma boa lista desses com vulnerabilidade fui para o programa “Havij” que
facilita muito para quem não tem conhecimento em SQL-inJection e não saberia aplicar os
comandos para localizar o banco de dados, tabelas, colunas, dessas informações.
PS: Se atentem as informações fornecidas pelo Acunetix, que se apontar vulnerabilidade para
SQL-INJECTION, dará a vocês o tipo de injeção (POST, GET) etc..
Não me considero um usuário avançado, porem para estimular alguns que estão lendo o
tópico, posso deixar somente uma dica, se você tem interesse em seguir em frente, estude,
procure e faça, pois somente a prática te trará resultados reais e com os erros que você
melhora, como falei no começo do tópico, foram 3 longas semanas, madrugadas e
madrugadas, para conseguir aprender alguma coisa.
**No Acunetix, programa que citei anteriormente o apontamento do método segue do lado
direito da tela do software
e que eu posso setar qualquer variável para “CodProd” em Sql-Injection pois está vulnerável..
ou seja posso enviar qualquer comando para o banco de dados e esperar a resposta.. no case
de sucesso o comando utilizado foi
Select – Selecionar
1, 2, 3, 4 – Colunas
Email, cc, cvv – E-mail do cara, cartão de crédito, cvv, etc. (poderia setar CPF, RG, entre
outros)
E para quem realmente acha que é rapidinho só ir e fazer.. não obterá sucesso, assim como
tudo nessa vida, a persistência é o que leva a perfeição...
Muitos Não vão entender, Mesmo após ler Várias vezes, Eu aconselho Estudarem Sql e Sqli...
E lembre se, A Prática leva a Perfeição.
Forte abraço
- @Redskins