Só ascrescentando um detalhe; Sabe aquela mania preguiçosa que o povo tem de não remover do database a maldita senha "sa" ou a Sysdba?
Pois é né.... É são através destes ganchos que esses caras fazem e acontecem. []s Walter Alves Chagas Junior Projeto e desenvolvimento Telemont Engenharia de telecomunicações Belo Horizonte - MG - Brazil [EMAIL PROTECTED] Fone: (31) 3389-8215 Fax: (31) 3389-8200 -----Mensagem original----- De: delphi-br@yahoogrupos.com.br [mailto:[EMAIL PROTECTED] nome de Rubem Nascimento da Rocha Enviada em: terça-feira, 7 de março de 2006 18:09 Para: delphi-br@yahoogrupos.com.br Assunto: Re: [delphi-br] Ref. Consulta de CPF na Receita Prioridade: Alta SQL INJECTION é uma técnica hacker que consiste em tentar consultar informações em sites comerciais, que usam bancos de dados relacionais, através de mudanças nos valores de parâmetros enviados aos CGIs do site. Uma string alterada em um parâmetro de um CGI (DLL, página ASP, etc.) pode fazer com que uma sentença SQL que necessite daquele parâmetro acabe retornando dados que na verdade 'não deveriam', com logins e senhas de acesso. Walter, me corrija caso eu esteja errado! Sds. >From: Márcio de Figueiredo Moura e Castro <[EMAIL PROTECTED]> >Reply-To: delphi-br@yahoogrupos.com.br >To: <delphi-br@yahoogrupos.com.br> >Subject: Re: [delphi-br] Ref. Consulta de CPF na Receita >Date: Tue, 7 Mar 2006 18:00:56 -0300 > >Caro Walter: > > O que seria SQL INJECTION? > > ----- Original Message ----- > From: Walter Alves Chagas Junior > To: 'delphi-br@yahoogrupos.com.br' > Sent: Tuesday, March 07, 2006 5:44 PM > Subject: RES: [delphi-br] Ref. Consulta de CPF na Receita > > > Sei que voce não vai gostar nem um pouco do que vou dizer, mas isto daí >me > parece muito mais teórico do que prático. E possívelmente inviável >codificar > algo neste sentido. > > Primeiro porque é cada site é de um jeito, os parametros são de um jeito >e > cada um em uma posição X e outro tem a Y. Não dá pra você fazer um >mecanismo > de busca na linha de comando. Alguns sites costumam colocar mais >caracteres > do que os utilizados para despistar informações. Seu site, da mesma >forma > que codifica, decodifica, Eu sei disto porque na época que eu mexia com > ISAPI, nas listas de WEB e programação para internet os caras nos > aconselhavam a fazer isto justamente para impedir que alguem busque e > manipule informações na linha de URL. Criaram um monte de programa aí >pra > fazer isto no Rapidshare. Mudaram. Agora os parametros lá são passados >em > posições aleatorias. Não existe um padrão internacional de montagem de > parâmetros em linha de comando do browser. Até mesmo porque, a >comunidade > programadora em WEB, hoje, anda muito neurada com o carma do SQL >INJECTION. > Algo como a gripe aviária da TI > > Segundo que os tais sites, que você diz ser feitos por programadores que > colocam o que virá escrito na imagem em um campo escondido do formulário >de > login, não são todos. Já vi site que passa isto na linha de comando. Aí >ce > altera a linha, coloca uma combinação de caracteres lá qualquer e a >imagem é > alterada mediante o pressionamento do F5. Já vi mas também vi que no >site, > que vi isto, durou pouco. Mudaram. > > Outra, quase todos sites, usam as letras distorcidas, dobradas e >sublinhadas > justamente para se safarem de qualquer tentativa de rodar algo, a nível >de > OCR, em cima disto. As excessões são poucas. De um modo geral, a galera > distorce a imagem sim e procura distorce bem e granular bem as letras. >Quem > ainda não tá distorcendo, passa a fazer isto muito em breve. > > Em outras palavras, um projeto deste, vai ser um projeto que já vai >nascer > pra durar pouco, porque enquanto os procedimentos na WEB são dinamicos, >no > software é estático... > > > > []s > > Walter Alves Chagas Junior > Projeto e desenvolvimento > Telemont Engenharia de telecomunicações > Belo Horizonte - MG - Brazil > [EMAIL PROTECTED] > Fone: (31) 3389-8215 Fax: (31) 3389-8200 > > > -----Mensagem original----- > De: delphi-br@yahoogrupos.com.br [mailto:[EMAIL PROTECTED] > nome de Filipe Xavier Ramalho > Enviada em: terça-feira, 7 de março de 2006 12:46 > Para: delphi-br@yahoogrupos.com.br > Assunto: Re: [delphi-br] Ref. Consulta de CPF na Receita > > > Bom, vamos lá então... > > Para "burlar" a digitação das imagens de segurança, você deve seguir >alguns > passos: > > 1º - É necessário saber exatamente como o site funciona, ou seja, quando > você o acessa via browser, você deve descobrir todos os parâmetros que >são > passados para o site e se ele é acessado via Get ou Post. Note que é >muito > comum sites serem acessados via Get ou Post, e depois a página que é > retornada se redireciona, com novos Gets e Posts. Isto pode ser feito >com > programas que monitoram os pacotes (HTTP Watch é o software que eu >utilizo). > > 2º - Você deve observar que muitos sites (feitos por programadores pouco > inteligentes) já trazem o que virá escrito na imagem em um campo >escondido > do formulário de login. > > 3º - Em sites que não dão esta abertura, virá no meio do HTML um link >para > acessar a imagem que iria aparecer. Você deve utilizar este link para >pegar > a imagem na internet. > > 4º - De posse da imagem, alguns sites não "distorcem" a imagem, e você > poderá utilizar um método de OCR (há muitos exemplos na net) para "ler" >o > seu conteúdo. > > 5º - Se o site "distorce" a imagem, paciência, você precisará mostrá-la >ao > usuário para que ele digite o conteúdo e então você acessa o site > normalmente. Neste caso é necessária a intervenção do usuário para >digitar o > conteúdo da imagem, mas já ficará muito produtivo você preencher os >demais > critérios e parsear o resultado de forma automática. > > Nenhum site escapa, é possível fazer em qualquer situação. > > Mas lembrem-se de que não é uma prática aconselhável. Cada um é >responsável > pelo que faz. > > Abraços, > > Filipe > ----- Original Message ----- > From: Walter Alves Chagas Junior > To: 'delphi-br@yahoogrupos.com.br' > Sent: Tuesday, March 07, 2006 11:22 AM > Subject: RES: [delphi-br] Ref. Consulta de CPF na Receita > > > Uê se tem como fazer, então fala aqui pra nós. > > []s > > Walter Alves Chagas Junior > Projeto e desenvolvimento > Telemont Engenharia de telecomunicações > Belo Horizonte - MG - Brazil > [EMAIL PROTECTED] > Fone: (31) 3389-8215 Fax: (31) 3389-8200 > > > -----Mensagem original----- > De: delphi-br@yahoogrupos.com.br >[mailto:[EMAIL PROTECTED] > nome de Filipe Xavier Ramalho > Enviada em: terça-feira, 7 de março de 2006 09:15 > Para: delphi-br@yahoogrupos.com.br > Assunto: Re: [delphi-br] Ref. Consulta de CPF na Receita > > > Prezado, > > Há sim uma forma de fazer isso, mas como o Walter falou, não seria >muito > aconselhável. Mas se ainda assim quiser mais informações de como fazer > isso, > entre em contato em pvt: [EMAIL PROTECTED] > > Abraço, > > Filipe > ----- Original Message ----- > From: Walter Alves Chagas Junior > To: 'delphi-br@yahoogrupos.com.br' > Sent: Tuesday, March 07, 2006 9:41 AM > Subject: RES: [delphi-br] Ref. Consulta de CPF na Receita > > > Amigo, > > Posso lhe antecipar que não há como burlar o recurso supra-citado >uma > vez > que o mesmo foi criado justamente para evitar múltiplos acessos > automáticos. > Isto é uma forma de impedir que alguém rode um CGI e, puxe na >receita, > situação de CPF´s de vários usuários (e pior, sem autorização >destes) > visando sabe-se lá o que com isto (leia-se manipular indevidamente e >sem > autorização sua, de seus dados). Os SPAMZEIROS tão sempre por trás > destas > paradas. > > > > []s > > Walter Alves Chagas Junior > Projeto e desenvolvimento > Telemont Engenharia de telecomunicações > Belo Horizonte - MG - Brazil > [EMAIL PROTECTED] > Fone: (31) 3389-8215 Fax: (31) 3389-8200 > > > -----Mensagem original----- > De: delphi-br@yahoogrupos.com.br >[mailto:[EMAIL PROTECTED] > nome de Marcel Garcia de Almeida > Enviada em: segunda-feira, 6 de março de 2006 16:59 > Para: delphi-br@yahoogrupos.com.br > Assunto: [delphi-br] Ref. Consulta de CPF na Receita > Prioridade: Alta > > > Pessoal,<BR><BR>Estou precisando fazer consulta da situação do CPF >na > Receita Federal, porém eles criaram uma imagem que tem que ser >digitada > para > validar o acesso. Será que alguém sabe como posso automatizar a >consulta > sem > utilizar a imagem, ou então como ler o texto na imagem > automáticamente?<BR><BR>Obrigado.<BR><BR>Atenciosamente, <BR>Marcel > Garcia > de Almeida <BR>Brainworks <BR> > > > -- > <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> > > > > Links do Yahoo! Grupos > > > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > -- > <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> > > > > > > Yahoo! Grupos, um serviço oferecido por: > PUBLICIDADE > > > > > > >--------------------------------------------------------------------------- - > -- > Links do Yahoo! Grupos > > a.. Para visitar o site do seu grupo na web, acesse: > http://br.groups.yahoo.com/group/delphi-br/ > > b.. Para sair deste grupo, envie um e-mail para: > [EMAIL PROTECTED] > > c.. O uso que você faz do Yahoo! Grupos está sujeito aos Termos do > Serviço do Yahoo!. > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > -- > <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> > > > > Links do Yahoo! Grupos > > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > -- > <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> > > > > > > Yahoo! Grupos, um serviço oferecido por: > PUBLICIDADE > > > > > >--------------------------------------------------------------------------- - > -- > Links do Yahoo! Grupos > > a.. Para visitar o site do seu grupo na web, acesse: > http://br.groups.yahoo.com/group/delphi-br/ > > b.. Para sair deste grupo, envie um e-mail para: > [EMAIL PROTECTED] > > c.. O uso que você faz do Yahoo! Grupos está sujeito aos Termos do > Serviço do Yahoo!. > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > -- > <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> > > > > Links do Yahoo! Grupos > > > > > > > > > [As partes desta mensagem que não continham texto foram removidas] > > > > -- > <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> > > > > > > Yahoo! Grupos, um serviço oferecido por: > PUBLICIDADE > > > > >--------------------------------------------------------------------------- --- > Links do Yahoo! Grupos > > a.. Para visitar o site do seu grupo na web, acesse: > http://br.groups.yahoo.com/group/delphi-br/ > > b.. Para sair deste grupo, envie um e-mail para: > [EMAIL PROTECTED] > > c.. O uso que você faz do Yahoo! Grupos está sujeito aos Termos do >Serviço do Yahoo!. > > > > >[As partes desta mensagem que não continham texto foram removidas] > _________________________________________________________________ MSN Busca: fácil, rápido, direto ao ponto. http://search.msn.com.br -- <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> Links do Yahoo! Grupos [As partes desta mensagem que não continham texto foram removidas] -- <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> <*> Para ver as mensagens antigas, acesse: http://br.groups.yahoo.com/group/delphi-br/messages <*> Para falar com o moderador, envie um e-mail para: [EMAIL PROTECTED] Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/delphi-br/ <*> Para sair deste grupo, envie um e-mail para: [EMAIL PROTECTED] <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html
