elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [ayuda] Seguridad web de un usuario logueado
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [ayuda] Seguridad web de un usuario logueado  (Leído 4,555 veces)
hardjesjlc

Desconectado Desconectado

Mensajes: 40


http://ldelac.wordpress.com/


Ver Perfil WWW
[ayuda] Seguridad web de un usuario logueado
« en: 27 Marzo 2012, 12:48 pm »

Buenas,
Soy un poco nuevo por aquí, he estado buscando por el foro y no he encontrado nada
parecido (quizás no busqué bien ;) )
Bueno os cuento,  tengo una aplicación web en la que te logeas con usuario y contraseña.
Quiero auditar la aplicacion por si un usuario logeado, es decir, dentro de la aplicacion puede atacarla.
Por ejemplo, facebook, para entrar necesitas user y pass. Yo quiero auditar una vez dentro de "facebook" si esta web es <<vulnerable>>

Para ello estoy usando w3af pero no consigo nada claro.
Usé acunetix y funciona, es decir, es más facil de configurar para poner un user y un pass valido y empezar a auditar desde dentro.
PD no quiero usar acunetix porque es de pago.

Alguna idea, alguna otra aplicacion para auditar.

Gracias



En línea

hardjesjlc

Desconectado Desconectado

Mensajes: 40


http://ldelac.wordpress.com/


Ver Perfil WWW
Re: [ayuda] Seguridad web de un usuario logueado
« Respuesta #1 en: 28 Marzo 2012, 10:13 am »

Investigando un poco creo que tengo que modificar la peticion http con (w3af) creo que se puede, alguna idea
En línea

afdlkglfgfdgfhgf

Desconectado Desconectado

Mensajes: 92


Ver Perfil
Re: [ayuda] Seguridad web de un usuario logueado
« Respuesta #2 en: 1 Abril 2012, 23:19 pm »

nunca he utilizado ese programa pero revisa si tiene la opcion de enviar datos por post, la otra es generar una cookie( iniciando sesion en la web y cogiendo la cookie, tener en cuenta tanto User-Agent como referer ) y configurar para que utilize esa cookie.

for dummies : http://w3af.svn.sourceforge.net/viewvc/w3af/trunk/readme/EN/w3af-users-guide.pdf    :silbar:
« Última modificación: 1 Abril 2012, 23:39 pm por juanplab » En línea

hardjesjlc

Desconectado Desconectado

Mensajes: 40


http://ldelac.wordpress.com/


Ver Perfil WWW
Re: [ayuda] Seguridad web de un usuario logueado
« Respuesta #3 en: 3 Abril 2012, 09:49 am »

Gracias juanplab

Creo que soy un poco torpe (o mucho segun se mire) Tengo la cookie, tengo la peticion post con el login y el pass que me devuelve un OK,
Pero no es posible armar el w3af para que me haga un escaneo, siempre se me queda en  la pantalla de inicio, es decir, cuando w3af esta dibujando el arbol de páginas solo dibuja la pantalla de inicio, no dibuja todo lo de dentro.

Para que todos aprendamos he realizado la peticion POST con ieHTTPHeaders
que te visualiza las peticiones y las respuestas que te va dando el servidor.

Para sacar la cookies, en winXP estan en C:\Documents and Settings\ZZUSUARIOZZ\Local Settings\Temporary Internet Files

No se si me explico, si necesitais más info, no dudeis en pedirla

Un saludo
En línea

rassiel

Desconectado Desconectado

Mensajes: 83


Ver Perfil
Re: [ayuda] Seguridad web de un usuario logueado
« Respuesta #4 en: 20 Abril 2012, 16:34 pm »

pues te logueas en la pag con firefox por ejemplo, mediante tamper data copias la cookie, instalas proxomitron y pones esa cookie para que se envie, si tu programa permite la declaracion de proxy declaras 127.0.0.1:8080 y listo auditaras desde dentro
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Evitar descarga de archivos si el usuario no esta logueado
PHP
Mr. Crowley 4 11,263 Último mensaje 5 Enero 2010, 22:28 pm
por Mr. Crowley
Ocultar y mostrar elementos una vez logueado.
PHP
XXXXXX 3 7,032 Último mensaje 5 Abril 2011, 21:44 pm
por takipunk
Seguridad del usuario web
Seguridad
Judokaito 4 3,011 Último mensaje 25 Julio 2016, 14:04 pm
por Judokaito
mostrar el nombre y el apellido del usuario logueado en el navbar
PHP
jose4lfredo 1 9,379 Último mensaje 17 Mayo 2017, 09:28 am
por hechicerd0
Mostrar datos de usuario logueado en php
PHP
ASCII 1 4,003 Último mensaje 24 Julio 2018, 17:47 pm
por #!drvy
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines