| lists.openwall.net | lists / announce owl-users owl-dev john-users john-dev passwdqc-users yescrypt popa3d-users / oss-security kernel-hardening musl sabotage tlsify passwords / crypt-dev xvendor / Bugtraq Full-Disclosure linux-kernel linux-netdev linux-ext4 linux-hardening linux-cve-announce PHC | |
|
Open Source and information security mailing list archives
| ||
|
Date: Thu, 25 Sep 2008 13:19:05 -0300
From: "Empresário TecBR" <executivebr@...il.com>
To: full-disclosure@...ts.grok.org.uk
Subject: Caixa Economica Federal (CEF) USERNAME BruteForce
O Clube dos Macacos (CDM) orgulhosamente apresenta...
.:[CEF USERNAME BruteForce]:.
Como todos ja sabem, o sistema de InternetBank da Caixa Economica Federal
(CEF) possui varias
vulnerabilidades.
Uma delas, permite que atacantes efetuem ataques do tipo "BruteForce" para
descobrir nomes de
usuario validos.
Alem disso, tambem e possivel obter o nome completo de correntistas, fazendo
com o que o todo
o sistema de cadastramento de computadores va por agua abaixo.
.: Prova de Conceito (PoC) :.
Logue em uma conta da CAIXA (USUARIO e SENHA), apos isso, sem encerrar a
seçao, entre com um
novo USUARIO (teste com usuario valido).
Note que o sistema nao pedira uma senha. Sera aberto a conta da primeira
seçao com o nome
completo do correntista da segunda seçao (caso o USERNAME seja valido).
VIDEO DE DEMONSTRAÇAO EM:
http://rapidshare.com/files/148315828/CEF.BruteForce.PWNED.zip.html (.avi
file)
.: Conclusao :.
Com isso pode-se pegar os dados de correntistas, efetuar ataques de
"BruteForce" e etc.
.: Agradecimentos :.
Ao grande "hacker" brasileiro Glaudson O. Campos (Nash Leon) que sera
destaque na proxima
ediçao da ISTWH. NASH LEON PWNED!
Ao pessoal do CDM e MOTD (inferninho, estamos de olho em voce).
Content of type "text/html" skipped
_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.grok.org.uk/full-disclosure-charter.html
Hosted and sponsored by Secunia - http://secunia.com/
Powered by blists - more mailing lists