Autor
|
Tema: Login de pagina web aspx (Leído 5,660 veces)
|
TickTack
Desconectado
Mensajes: 434
CipherX
|
Hola,
Como se puede loguearse en una cuenta de administrador en Login.aspx mediante inyeccion de codigo u otro metodo?
Gracias y saludos
|
|
|
En línea
|
|
|
|
engel lex
|
dependerá del metodo que use revisa el html y probalemente será pasando 2 parámetros por post
la pregunta tampoco tiene mucho sentido o está bien formulada
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
TickTack
Desconectado
Mensajes: 434
CipherX
|
dependerá del metodo que use revisa el html y probalemente será pasando 2 parámetros por post
A que te refieres von post? la pregunta tampoco tiene mucho sentido o está bien formulada
Me podrias informar como Lenkrad mi pregunta por favor? Gracias y saludos
|
|
|
En línea
|
|
|
|
engel lex
|
punto 1 saber como el servidor procesa la solicitud
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
TickTack
Desconectado
Mensajes: 434
CipherX
|
Hola engel lex, pues no creo que esto diga mucho: <html>
<head> <title>login...</title> <script src="/cdn-cgi/apps/head/jaxQRxOLDJ-JHgSZMAMwQ7x90V8.js"></script></head>
<body> <div> <form action="login.aspx" method="post"> <div>password</div> <input type="text" name="pass" value="" /> <input type="submit" name="go" value="login..." /> </form> </div> </body>
</html>
De que otras maneras se puede saber como el servidor procesa la solicitud? Gracias y saludos
|
|
|
En línea
|
|
|
|
Orubatosu
|
Tu "problema" es que ves solo la parte HTML de la página. La página alojada en el servidor tiene mas código (ya sea en asp, php... lo que sea) y ese código es quien envía los datos del login generalmente contra una base de datos alojada en el servidor donde hará una petición, tipicamente en lenguaje SQL para comprobar si esos datos que das con o no correctos. El ataque mas usual es el que se conoce como "inyección SQL" https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQLAunque lo "normal" a día de hoy es que la gente se moleste al menos en comprobar que la cadena que introduce el usuario no contiene espacios, comodines... o usa lo que se conoce como "consultas preparadas" u otras técnicas para impedir ese tipo de ataques
|
|
|
En línea
|
"When People called me freak, i close my eyes and laughed, because they are blinded to happiness" Hideto Matsumoto 1964-1998
|
|
|
TickTack
Desconectado
Mensajes: 434
CipherX
|
Hola Orubatosu, crei que esta pagina era vulnerable por lo sencillez que a uno le da la impresion: http://chatrooms.marsproject.net/livescript/login.aspxPero entonces si lo normal es eso lo que dijiste... entonces es imposible loguearse con la cuenta de administrador... o? Gracias y saludos
|
|
|
En línea
|
|
|
|
engel lex
|
De ahí en adelante es un ataque de conocimiento, es decir, tienes que saber los métodos comunes y las formas en que se programa un servidor, para tener una idea que puede ser vulnerable y atacarlo, pero si asumes que es vulnerable porque "se ve simple" vas mal, la vista y el sistema de procesamiento son aislados
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Orubatosu
|
Claro que es posible "logearse con cuenta de administrador", siempre y cuando dispongas de la contraseña de administrador (si no usa medidas adicionales de control claro está)
Pero que el diseño de una página parezca mas o menos simple es completamente irrelevante. Muy a menudo las personas que hacen la parte gráfica no son las mismas que programan la parte lógica, y lo cierto es que a día de hoy que una página sea vulnerable a ataques SQL es para coger a su creador y meterlo en un pozo y olvidarnos de el, porque es una de las vulnerabilidades mas conocidas que se conocen y hay muchas herramientas para evitar ese ataque.
La mayor parte de los "hackeos" mas famosos, se han hecho en buena medida mediante técnicas de ingeniería social. Es decir: Engañando a alguien para que revele su contraseña o sobornando a alguien para conseguirla.
Se dice que una cadena es tan fuerte como el mas débil de sus eslabones, y en estos casos el eslabón humano suele ser de lejos el mas fragil de todos.
Existen otras formas de ataques clásicas que requieren además profundos conocimientos de como funcionan las redes para poder intentar por ejemplo una escalada de privilegios, pero ese tema ya es incluso mas complejo (de rato largo) que un ataque SQL que a día de hoy no deja de ser una chapuza
Algo tan ridículo como emails falsos que pidan confirmar usuarios y contraseñas es mucho mas eficaz, porque una cantidad de gente muy elevada ni se molesta en comprobar si la procedencia el correo es o no real o incluso de preguntar al remitente sobre si ese correo es cierto o no (al remitente real claro)
Por otro lado, lo que tu puedes ver desde el navegador no es el contenido real de la página, a ver como te lo explico.
Hoy en día se usan mucho las páginas dinámicas. Si, usan HTML, CSS y todo eso, pero también otras cosas. Por ejemplo aspx, JavaEE, PHP... y el código escrito en esos lenguajes no lo puedes ver en el navegador. No porque esté escondido, sino porque cuando tu escribes esa url, haces una petición al servidor donde está alojada la página. El servidor lee el código "real" de esa página y lo ejecuta... y el resultado de esa ejecución es código html "a pelo" (con algún añadido que puede haber claro) pero sin una sola línea del código que hay detrás. Digamos que el programa en el servidor crea una nueva página para cada petición que recibe. Así funcionan todas las páginas que no tienen un contenido que sea siempre idéntico, como este mismo foro que consiste en código html mas código en PHP, un servidor de datos MySql y posiblemente alguna cosa mas. No obstante si tu miras el "código fuente" de un foro, no verás ni una sola petición por ejemplo a una base de datos. Y eso tiene lógica, porque esas peticiones se ejecutan en el servidor. No tendría sentido que tu navegador las recibiese.
|
|
|
En línea
|
"When People called me freak, i close my eyes and laughed, because they are blinded to happiness" Hideto Matsumoto 1964-1998
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Problema con pagina aspx y funcion javascript
Desarrollo Web
|
Nabucodonosor
|
1
|
3,568
|
15 Noviembre 2010, 23:16 pm
por Nabucodonosor
|
|
|
Formulario Login, pagina web.
Desarrollo Web
|
vaXy
|
4
|
3,146
|
21 Enero 2013, 16:03 pm
por vaXy
|
|
|
SQLi a página aspx
Desarrollo Web
|
lamama
|
2
|
2,323
|
25 Febrero 2015, 21:29 pm
por lamama
|
|
|
Login con Gecko en pagina y búsqueda de una palabra dentro la de pagina
.NET (C#, VB.NET, ASP)
|
GEORGEFRT
|
1
|
2,367
|
1 Diciembre 2016, 14:47 pm
por Eleкtro
|
|
|
Inyeccion SQL a una pagina .aspx
Hacking
|
Sonoma
|
1
|
3,322
|
26 Junio 2018, 22:54 pm
por windic
|
|