 Autor
|
Tema: Duda sobre procedimiento cuando buscamos vulns web (Leído 6,187 veces)
|
Debci
Wiki
 Desconectado
Mensajes: 2.021
Actualizate o muere!
|
Hola a todos, hoy he estado leyendo unos papers (uno de ellos del Master en seguridad web SDC), he aprendido muchas cosas sobre SQLi y XSS.
ES muy bonito cuando tienes el source code a la vista, y ves que puede injectar.
Se me presentan varias dudas:
1-Que haceis para ver si una variable es vulnerable a SQLi o XSS? Cojeis todas las variables de un web (si es asi como las conseguiis) y probais una a una? Si probais una a una, que probais para los XSS o los SQLi usais siempre la misma prueba o cambiais el script o querie que le lanzais?
2-Mi experiencia me dice que los escaners de vulnerabilidades no sirven para mucho, personalmente en mi vida he encontrado ni una sola vulnerabilidad con un escaner, sera que soy muy torpe o que los targets que examino son muy seguros. Que opinais al respecto?
3-Que haceis para saber si una input en una web es vulnerable a XSS? Porque la mayoria de veces tienen filtros o magic-quotes y eso dificulta las cosas.Se pueden bypassear magic-quotes? Como se que tipo de filtro usa un input? En mi caso hace un tiempo me encontre uno con addslashes, que deberia hacer en ese caso?
4-Soleis descargar una copia del sistema web que estais intentando vulnerar (osea, si es un foro, bajais el codigo PHP) para posteriormente analizarlo?
5-En algun caso, de un ataque real es practico usar un ataque por fuerza bruta a un formulario para aceder?
Espero que puedan resolver mis dudas.
Saludos
|
|
|
|
|
En línea
|
|
|
|
Erfiug
Desconectado
Mensajes: 44
|
puedes pasar el link del documento que estas leyendo?
gracias
|
|
|
|
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 896
Imagen recursiva
|
1) Para saber eso puedes encontrar las variables por medio de inputs, aunque muchas veces te puedes encontrar enlaces así http://host/index.php?id=21
Y ahí puedes probar con los típicos payloads de lo que quieras buscar. Los XSS más fáciles de encontrar están en las típicas cajas de búsqueda. 2) Yo personalmente no recomiendo los escaners ni por aprendizaje ni por eficacia ya que dan muchos falsos positivos. 3) Primero puedes inyectar los payloads más típicos y ver como se comporta la aplicación dependiendo como filtre los carácteres, a partir de ahí puedes seguir investigando que puedes hacer. Lo de saltar magic quotes depende de como estén puestas, de todas formas si solo filtra las quotes no protege nada ya que puedes inyectar algo así : <script>alert(/HOLA/);</script> o location = string.fromCharCode(numeros ascii de los caracteres) ; 4) Si no encuentras otra forma es bastante útil. 5) Yo nunca lo he intentado, pero si no tienes más remedio... |
|
|
|
« Última modificación: 28 Julio 2010, 15:50 pm por braulio-- »
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 2.021
Actualizate o muere!
|
Entiendo, mas o menos lo que suponia, ahora por ejemplo, yo intento inyectar codigo en un input, y en el source se queda asi: </div></div><div id="mainContentMaster"><div class="fullPage"><div id="mainSearch" class="ovrh" style="padding-right:10px"><div><h1>0 search results for <script >alert AND () AND ; </script ></h1>
Y la cadena que le he metido a la variable es:
Osea, la basica. Que alternativa me queda ahora? Saludos |
|
|
|
« Última modificación: 28 Julio 2010, 16:01 pm por Debci »
|
En línea
|
|
|
|
Erfiug
Desconectado
Mensajes: 44
|
Entiendo, mas o menos lo que suponia, ahora por ejemplo, yo intento inyectar codigo en un input, y en el source se queda asi: </div></div><div id="mainContentMaster"><div class="fullPage"><div id="mainSearch" class="ovrh" style="padding-right:10px"><div><h1>0 search results for <script >alert AND () AND ; </script ></h1>
Y la cadena que le he metido a la variable es:
Osea, la basica. Que alternativa me queda ahora? Saludos Parece que codifican en HTMl los carácteres < y >, lo que hace que el tema esté jodido... Puedes poner el link del paper que estás leyendo?
|
|
|
|
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 896
Imagen recursiva
|
En ese caso me parece que es un filtro en plan htmlentities() y se podía saltar dependiendo de que codificación fuera. En el caso de que fuera utf-7 podrías mandar la siguiente cadena : +ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4- y te devolvería el alert(/XSS/) , pero no creo que sea muy común eso. |
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 2.021
Actualizate o muere!
|
En ese caso me parece que es un filtro en plan htmlentities() y se podía saltar dependiendo de que codificación fuera. En el caso de que fuera utf-7 podrías mandar la siguiente cadena : +ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4- y te devolvería el alert(/XSS/) , pero no creo que sea muy común eso. a que te refieres con no muy común? Saludos
|
|
|
|
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 896
Imagen recursiva
|
Que no suelen estar en utf-7 para facilitarte este tipo de bypass del filtro.
|
|
|
|
|
En línea
|
|
|
|
Erfiug
Desconectado
Mensajes: 44
|
En ese caso me parece que es un filtro en plan htmlentities() y se podía saltar dependiendo de que codificación fuera. En el caso de que fuera utf-7 podrías mandar la siguiente cadena : +ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4- y te devolvería el alert(/XSS/) , pero no creo que sea muy común eso. a que te refieres con no muy común? Saludos En ese caso me parece que es un filtro en plan htmlentities() y se podía saltar dependiendo de que codificación fuera. En el caso de que fuera utf-7 podrías mandar la siguiente cadena : +ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4- y te devolvería el alert(/XSS/) , pero no creo que sea muy común eso. a que te refieres con no muy común? Saludos A que pocas páginas web utilizan esa codificación... Para ver que codificación utiliza fíjate si hay alguna línea en la cabezera parecida a: <meta http-equiv="Content-Type" content="text/html; charset="'iso-8859-1','UTF-7'," Puedes pasarme el link del paper que estás leyendo? O seguirás ignorándome?
|
|
|
|
|
En línea
|
|
|
|
bizco
Desconectado
Mensajes: 698
|
y aun pareciendo mentira, los campos hidden en algunas paginas contienen informacion que puedes usar a tu favor. es decir, campos que tienen informacion sobre el usuario que envia el formulario y no es verificada, incluso campos en los que puedes injectar sql pq el webmaster asume que ese campo no se puede modificar.
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Buscamos redactores que les guste el cacharreo :)
Electrónica
|
Alberto Navarro
|
0
|
4,474
|
15 Junio 2013, 13:25 pm
por Alberto Navarro
|
|
|
|
Buscamos un socio programador/desarrollador de software
Foro Libre
|
max27
|
0
|
1,356
|
19 Diciembre 2013, 12:43 pm
por max27
|
|
|
|
Buscamos crack de la seguridad web.
Desarrollo Web
|
metakom
|
0
|
1,585
|
19 Marzo 2014, 18:43 pm
por metakom
|
|
|
|
«Las empresas de ciberseguridad no somos policías pero buscamos criminales»
Noticias
|
wolfbcn
|
0
|
1,428
|
12 Julio 2014, 17:51 pm
por wolfbcn
|
|
|
|
Proyecto Robots forex, buscamos colaboradores
Desarrollo Web
|
robotciempies
|
0
|
1,616
|
17 Abril 2016, 12:44 pm
por robotciempies
|
 |
