Security botGG Opcje

[d3dik]

Dziś chciałem wam przedstawić swój najnowszy wynalazek jakim jest botGG. Jakieś pół roku temu dostałem autoryzacje od GG na tworzenie bota z wykorzystaniem ich API jednak tamten pomysł na wykorzystanie bota przepadł pomyślałem że stworze innego bota.

Tematyką bota będzie "security".
- Reverse IP (Funkcja już działa)
- Hash search
- Szukanie exploitów
- Szukanie błędów (xss, rfi, lfi, sql injection) na podanej stronie

To są takie główne rzeczy jakie będę chciał do niego dodać.

Bot działa pod numerem GG: *******. Czasami bot wolno odpisuje ale niestety nie jest to moja wina tylko Gadu-Gadu ;(

Jeśli macie jakieś pomysły sugestie pisać śmiało. Oczywiście można dodać funkcje nie związane z "security" ale żeby to nie była kopia infobota.

Wpis na blogu

Powód edycji: [Ociu]: Usuwam nr gg

[thomson89]

Fajnie by było, jak po napisaniu np. siema, cześć, witaj, odpisał by: witaj, oto dostępne komendy...

- Reverse IP (Funkcja już działa)(...)
Czasami bot wolno odpisuje ale niestety nie jest to moja wina tylko Gadu-Gadu

Hę!? Jak wpiszę google, owszem, dość szybko wyrzuca wynik, ale np. gl-art.pl nawet po pół godzinie się nie doczekałem (IMG:style_emoticons/default/winksmiley.jpg)

[d3dik]

możliwe że niestety trawiłeś na jakiś zwis ;( napisałem już do Gadu-Gadu.

[qwerty1440]

lipa jakas....

reverse wp, onet google i innych podaje... czasami wypisuje tez brak wynikow a czasami brak odpowiedzi... mozna czekac i sie nie doczeka czlowiek...
poza tym co to jest - tylko 1 funkcjonalnosc, nie liczac pomocy i info o autorach. Wstydzilbys sie pytac o opinie takiego badziewia. Niedosc ze nic pozytecznego nie robi, to jeszcze nie dziala jak nalezy. I nie sadze by problem lezal po stronie gadu-gadu.

[l0ud]

Jako projekt 'edukacyjny' jest OK - w większości działa i przy okazji nauczyłeś się jakiegoś BotAPI (20min nauki?)

Tak czy siak całość nie wygląda na więcej niż 2-3h pracy a użyteczność jest zerowa (mało kto sprawdza takie rzeczy na co dzień, a wyniki można znaleźć na pierwszej lepszej stronie)

W planach najciekawsze jest wyszukiwanie błędów, ale:
- przy wyłączonym raportowaniu błędów zapewne wszystkie mechanizmy za wyjątkiem tego od xss polegną
- przy większym zainteresowaniu całość padnie przy przeszukiwaniu podstron
- bez przeszukiwania podstron skuteczność np. wykrywania xss będzie znikoma
- to Twój serwer będzie testował bezpieczeństwo, a więc za ew. skutki włamań odpowiadasz Ty [choć po tym co robiłeś bez konsekwencji pewnie Ci to zwisa i powiewa]

Jak na razie napisałeś tylko jakiś skrypcik który pewnie pobiera dane z innej strony (choć szczerze mówiąc nie mam pojęcia jak to działa, może robisz to we własnym zakresie) i zwraca jakiś śmieszny tekst ze średnikami. To za mało do oceny. 2/10

[Shadowsword]

Pobawiłem się trochę botem i wszystkie domeny pokazało mi jako "brak wyników!" (patrzyłem google i kilka moich stron). Przestałem z niego korzystać i za jakieś 15 min dostałem wiadomość (na wszystkie wcześniejsze pytania mi odpowiedział):

gghack 20:55:05
http://google.pl/ nie jest domeną (IMG:style_emoticons/default/winksmiley.jpg)

[qwerty1440]

Pobawiłem się trochę botem i wszystkie domeny pokazało mi jako "brak wyników!" (patrzyłem google i kilka moich stron). Przestałem z niego korzystać i za jakieś 15 min dostałem wiadomość (na wszystkie wcześniejsze pytania mi odpowiedział):

obawiam sie ze to prawda... google.pl to domena, a http://google.pl/ to adres strony...

[Shadowsword]

To prawda, jednak np. http://whois.domaintools.com skraca sobie adres do domeny. Myślę, że wprowadzenie wykrywania i usuwania http:// nie będzie głupią modyfikacją, gdyż prawdopodobnie nie tylko ja napiszę taką głupotę (IMG:style_emoticons/default/smile.gif)

[d3dik]

Jako projekt 'edukacyjny' jest OK - w większości działa i przy okazji nauczyłeś się jakiegoś BotAPI (20min nauki?)

Tak czy siak całość nie wygląda na więcej niż 2-3h pracy a użyteczność jest zerowa (mało kto sprawdza takie rzeczy na co dzień, a wyniki można znaleźć na pierwszej lepszej stronie)

W planach najciekawsze jest wyszukiwanie błędów, ale:
- przy wyłączonym raportowaniu błędów zapewne wszystkie mechanizmy za wyjątkiem tego od xss polegną
- przy większym zainteresowaniu całość padnie przy przeszukiwaniu podstron
- bez przeszukiwania podstron skuteczność np. wykrywania xss będzie znikoma
- to Twój serwer będzie testował bezpieczeństwo, a więc za ew. skutki włamań odpowiadasz Ty [choć po tym co robiłeś bez konsekwencji pewnie Ci to zwisa i powiewa]

Jak na razie napisałeś tylko jakiś skrypcik który pewnie pobiera dane z innej strony (choć szczerze mówiąc nie mam pojęcia jak to działa, może robisz to we własnym zakresie) i zwraca jakiś śmieszny tekst ze średnikami. To za mało do oceny. 2/10

Jeśli chodzi o użyteczność zależy dla kogo (IMG:style_emoticons/default/winksmiley.jpg) są osoby które korzystają.

Szukanie będzie dodawane do crona i w kolejce szukać błędów. A to co robiłem jest moją sprawą (IMG:style_emoticons/default/winksmiley.jpg) Pamiętaj że można błędów szukać po proxy (IMG:style_emoticons/default/winksmiley.jpg)

Pobawiłem się trochę botem i wszystkie domeny pokazało mi jako "brak wyników!" (patrzyłem google i kilka moich stron). Przestałem z niego korzystać i za jakieś 15 min dostałem wiadomość (na wszystkie wcześniejsze pytania mi odpowiedział):

Tak, dostałeś wiadomość bo testowałem panel do ręcznego wysyłania wiadomości i akurat ciebie z listy logów wybrałem.

----
Przy okazji po napisaniu wszystkich funkcji do bota cały kod szkieletu bota zostanie udostępniony na zasadach open-source.

[qwerty1440]

korzystaja, nie korzystaja, .... nie wierze ze tak czesto iz potrzebny bot gg
A co do crona - ciezko mi to sobie wyobrazic... Ciekawe ile bede sie musial naczekac... miesiac wystarczy?

jak juz pisalem nawet to co zdarzyles zaimplementowac nie dziala, jak nalezy. dlaczego wiec mialbym korzystac z Twojego wynalazku, skoro w sieci pelno DZIALAJACYCH rozwiazan? (IMG:style_emoticons/default/snitch.gif)
jedyny racjonalny argument przemawiajacy za dalszym rozwojem to edukacja.

[marcio]

 

W planach najciekawsze jest wyszukiwanie błędów, ale:
- przy wyłączonym raportowaniu błędów zapewne wszystkie mechanizmy za wyjątkiem tego od xss polegną
- przy większym zainteresowaniu całość padnie przy przeszukiwaniu podstron
- bez przeszukiwania podstron skuteczność np. wykrywania xss będzie znikoma

Ad 1.Nieprawda gdyz sa "boty" ktore same wstawiaja w zmienne get kod sql do sql inj, i patrza czy sa bledy lub wyciekly jakies info.


Ad 2.Przeszukiwanie stron mozna zrobic(chocby tych glownych)

jak juz pisalem nawet to co zdarzyles zaimplementowac nie dziala, jak nalezy. dlaczego wiec mialbym korzystac z Twojego wynalazku, skoro w sieci pelno DZIALAJACYCH rozwiazan? (IMG:style_emoticons/default/snitch.gif)
jedyny racjonalny argument przemawiajacy za dalszym rozwojem to edukacja.

A czy autor napisal ze masz korzystac dal skrypt tylko do oceny i tyle.

[l0ud]

Ad 1.Nieprawda gdyz sa "boty" ktore same wstawiaja w zmienne get kod sql do sql inj, i patrza czy sa bledy lub wyciekly jakies info.
Ad 2.Przeszukiwanie stron mozna zrobic(chocby tych glownych)

Nie widzę tutaj niczego co miałoby udowodnić fałszywość moich twierdzeń (IMG:style_emoticons/default/tongue.gif) Fakt, przeszukiwanie podstron da się zrobić, jednak czas oczekiwania na wynik w przypadku kilku 'zachłannych' osób które wyślą po 10 żądań (chociażby z różnych numerów gg) będzie... zbyt długi. Zwłaszcza jak autor wykorzysta po drodze 5 serwerów proxy.

Napisz mi bota który rozpozna 100 wariantów komunikatu "Przepraszamy, ale wystąpił problem techniczny" i dostosuje zapytanie do większości tabel i błędów mogących w zapytaniach występować. No i zrobi to w rozsądnym czasie (IMG:style_emoticons/default/winksmiley.jpg)

A czy autor napisal ze masz korzystac dal skrypt tylko do oceny i tyle.

Co nie zmienia faktu, że pod ocenę możemy brać również użyteczność. W takich przypadkach, nawet głównie.