Autor
|
Tema: Base de datos de webs con certificado SSL ( HTTPS) (Leído 6,461 veces)
|
Reddington
Desconectado
Mensajes: 7
|
Hola,
Quiero saber una manera de obtener una base de datos ( no estoy interesado en credenciales ni nada por el estilo, con sacar lista de nombres, números... y una lista de tablas me basta), de una pagina web con certificado SSL, ya que en otras sin dicha seguridad es mas fácil obtenerla, suelo usar kali linux.
¿Que manera hay para poder hacerlo?
Gracias de antemano.
|
|
|
En línea
|
|
|
|
engel lex
|
que tiene que ver el certificado ssl aquí? si es http/s es simplemente eso, tu estás atacando una vulnerabilidad de capa 4... recomiendo estudiar y aprender la teoría antes de intentar cualquier cosa, practica sin teoría es como un ciego con una cámara fotografica
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
chapo
Desconectado
Mensajes: 27
|
Que tal engel lex, me pareció interesante tu respuesta, me imagino que si dices capa 4 te refieres al modelo OSI ya que si fuera la TCP/IP fuera la ultima capa, esta es una de las cosas interesantes pensadlo así rápido en efecto empezaría el SSL en la capa de presentación (capa 6), y mucha gente se puede confundir ya que trabaja arribista de tcp/IP, insisto me pareció una buena respuesta basándote en las capas. Se que no tiene nada que ver con el tema pero viendo un ejemplo de una DB como SQL encajaría mas en la capa 5 por mantener sesiones entre los queries del cliente y la DB del server y mas por el uso del concepto de transacciones, ya en la capa 4 nos enfocaríamos mas en los puertos como no se mysql 3306, en fin ya escribí mucho pero con la leída que di me pusiste a pensar.
saludos
|
|
|
En línea
|
|
|
|
engel lex
|
en hecho, por encima de la capa 4 las llamamos "capas virtuales" ya que no son "reales" (a nivel de protocolo o fincionamiento) por lo tanto se vuelven difusas y tema de discusión que capa es que... siendo contrapuesto al objetivo mismo del osi (y por esto el tcp/ip no las incluye)
en tal caso está hablando del mysql y de ssl, si está buscando atacar el ssl es una vulnerabilidad de capa 4... aunque ahora que lo describes, creo que había entendido con contrario de lo que quería D: aquí estamos enfrentandonos a un ataque a un servicio (tras otro servicio web processor -> database)
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Reddington
Desconectado
Mensajes: 7
|
que tiene que ver el certificado ssl aquí? si es http/s es simplemente eso, tu estás atacando una vulnerabilidad de capa 4... recomiendo estudiar y aprender la teoría antes de intentar cualquier cosa, practica sin teoría es como un ciego con una cámara fotografica
Primero decir que soy algo novato en este mundo, disculpad por si digo alguna cosa sin mucho sentido. Si no entendí mal, puedo hacerlo de la misma manera, sin importar que tenga seguridad SSL, ¿cierto?
|
|
|
En línea
|
|
|
|
engel lex
|
basicamente lo que estás diciendo es "quiero abrir una caja fuerte, pero el lobby del banco tiene sillas de cuero"
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Reddington
Desconectado
Mensajes: 7
|
Vale, entiendo.
Quisiera comentarte ahora, que entré en sqlmap para poder intentar sacar dicha base de datos, al introducir la pagina me saltó esto: " Heuristics detected that the target is protected by some king of WAF/IPS/IDS ", después de decirle que acepto que siga hacia delante, me salta esto otro: " WAF/IPS/IDS identified as "Generic (Uknown)". Please consider usage of tamper scripts". Y ya después para el proceso.
A eso me refiero con el que no es lo mismo con que sin esa seguridad. Aunque ahora entiendo mejor, el que da igual que tenga dicha seguridad, no se solucionar esto. ¿Que podría hacer?
|
|
|
En línea
|
|
|
|
|
Reddington
Desconectado
Mensajes: 7
|
Al final el ejemplo nos va a dar historia XD
Al caso, si estuve leyendo que quería decir ese tipo de seguridad y ya he comprendido bien el SSL y todo esto. He intentado saltarme dicha seguridad, y como mucho he conseguido el nombre de la empresa y el tipo de aplicación creo que usa para protegerse. Es: Big-IP Application Security Manager y la empresa: F5 Networks. Y según he leído también es una buena segurudad, ya sabes la empresa la vende como la mejor, ¿hay alguna manera de saltarse esto? Algun tamper o alguna otra herramienta fuera aparte de sqlmap
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Conexiones Https a servidor con certificado autofirmado
Java
|
alzehimer_cerebral
|
0
|
2,993
|
20 Junio 2010, 13:43 pm
por alzehimer_cerebral
|
|
|
Certificado SSL (https) es inseguro en chrome (esta pagina contiene otros etc...
Desarrollo Web
|
Cergath
|
3
|
6,753
|
10 Julio 2010, 05:39 am
por Nakp
|
|
|
Alguna manera de cojer base de datos de webs?
Seguridad
|
Puntoinfinito
|
1
|
2,520
|
9 Marzo 2012, 18:10 pm
por el-brujo
|
|
|
[TUTORIAL] Certificado HTTPS ¡GRATIS!
« 1 2 »
Seguridad
|
kub0x
|
13
|
32,919
|
13 Junio 2023, 12:28 pm
por Arhoc
|
|
|
cURL error 77 al conectar una https con certificado
PHP
|
Apokryphos
|
0
|
3,669
|
21 Junio 2017, 21:35 pm
por Apokryphos
|
|