lists.openwall.net   lists  /  announce  owl-users  owl-dev  john-users  john-dev  passwdqc-users  yescrypt  popa3d-users  /  oss-security  kernel-hardening  musl  sabotage  tlsify  passwords  /  crypt-dev  xvendor  /  Bugtraq  Full-Disclosure  linux-kernel  linux-netdev  linux-ext4  linux-hardening  linux-cve-announce  PHC 
Open Source and information security mailing list archives
 
Hash Suite for Android: free password hash cracker in your pocket
[<prev] [next>] [day] [month] [year] [list] 
Message-ID: <d28e06290809250919i422f8d5end950c4aaf4b07fd2@mail.gmail.com>
Date: Thu, 25 Sep 2008 13:19:05 -0300
From: "Empresário TecBR" <executivebr@...il.com>
To: full-disclosure@...ts.grok.org.uk
Subject: Caixa Economica Federal (CEF) USERNAME BruteForce

O Clube dos Macacos (CDM) orgulhosamente apresenta...

.:[CEF USERNAME BruteForce]:.

Como todos ja sabem, o sistema de InternetBank da Caixa Economica Federal
(CEF) possui varias
vulnerabilidades.

Uma delas, permite que atacantes efetuem ataques do tipo "BruteForce" para
descobrir nomes de
usuario validos.

Alem disso, tambem e possivel obter o nome completo de correntistas, fazendo
com o que o todo
o sistema de cadastramento de computadores va por agua abaixo.


.: Prova de Conceito (PoC) :.

Logue em uma conta da CAIXA (USUARIO e SENHA), apos isso, sem encerrar a
seçao, entre com um
novo USUARIO (teste com usuario valido).

Note que o sistema nao pedira uma senha. Sera aberto a conta da primeira
seçao com o nome
completo do correntista da segunda seçao (caso o USERNAME seja valido).

VIDEO DE DEMONSTRAÇAO EM:
http://rapidshare.com/files/148315828/CEF.BruteForce.PWNED.zip.html (.avi
file)


.: Conclusao :.

Com isso pode-se pegar os dados de correntistas, efetuar ataques de
"BruteForce" e etc.


.: Agradecimentos :.

Ao grande "hacker" brasileiro Glaudson O. Campos (Nash Leon) que sera
destaque na proxima
ediçao da ISTWH. NASH LEON PWNED!

Ao pessoal do CDM e MOTD (inferninho, estamos de olho em voce).

Content of type "text/html" skipped

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.grok.org.uk/full-disclosure-charter.html
Hosted and sponsored by Secunia - http://secunia.com/

Powered by blists - more mailing lists

Powered by Openwall GNU/*/Linux Powered by OpenVZ