elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Cabeceras HTTP
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cabeceras HTTP  (Leído 5,705 veces)
Constantinoplero


Desconectado Desconectado

Mensajes: 346


Veni, vidi, vici


Ver Perfil WWW
Cabeceras HTTP
« en: 2 Diciembre 2009, 18:08 pm »

Buenas,

En un login de cualquier página, que use el método POST, se pueden ver las cabeceras HTTP que se envían con un programa especial. En esas cabeceras van el usuario y su password.

Bien, la pregunta es la siguiene:
Escribiendo el usuario (que lo sabemos), ¿hay alguna forma de escribir en una cabecera modificada, que todas las passwords son válidas? Es decir, que ponemos un usuario, y luego, un código que 'dé todas las passwords por buenas', para que se pueda acceder al sitio.

Espero que me sigan. Saludos.

P.D.: "OR '='" <-- Eso no serviría, ¿verdad?
« Última modificación: 2 Diciembre 2009, 19:59 pm por kamsky » En línea

Más que buenos principios prefiero mejores finales.
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.218


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Cabeceras HHTP
« Respuesta #1 en: 2 Diciembre 2009, 19:58 pm »

bueno, no hace falta añadirlo directamente en la cabecera, simplemente en el textbox donde introduzcas el password lo haces, básicamente estamos hablando de sql injection.

si que tendría que hacerlo directamente en las cabeceras si hay algún client-side control que testee que no metes comillas, caracteres especiales, etc... o eso, o deshabilitas el javascript
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Cabeceras HTTP
« Respuesta #2 en: 3 Diciembre 2009, 08:47 am »

Hola, lo que tu necesitas es realizar una inyección SQL.

Hay algunas cosas que debes saber primero, por ejemplo que tipo de base de datos utiliza el servidor y que tipo de petición hace el formulario ya sea GET o POST y sus variables.
Si la petición se hace via GET entonces puedes modificar las variables directamente desde el explorador, en caso contrario te recomiendo que utilizes firebug o la consola de comandos para poder escibir manualmente las peticiones. Generalmente al utilizar firebug de firefox puedes evadir sistemas de protección que se realizan via javascript, modificas los inputs o variaables y lo mandas con tu inyección.

Si el sitio WEB utiliza php entonces lo mas probable es que pueda estar utilizando MySQL, si la página es asp, aspx o jsp entonces lo mas probable es que utilize MSSQL, ambos derivados del lenguaje SQL por lo tanto si quieres aprender a realizar una inyección, lo primero que debes hacer es leer un  par de tutos sobre SQL ya que no saco nada con decirte que intentes con x' or 1='1 ya que no sabrás como ingresaste o no vas a entender nada y vas a seguir con las dudas, además si no pudieras ingresar porque tiene parentesis o resultados a inyectar en md5, etc no vas a saber que hacer.

Si quieres aprender inyección SQL te podemos ayudar pero mínimo debes leer un par de tutoriales sobre SQL y entender el lenguaje o si no es como ejecutar un programa y presionar un botón que te hace todo, asi no vas a poder aprender.

Si quieres leer puedes darle un vistazo al foro de bases de datos y php si es que utilizan php y cuando ya vayas entendiendo un poco mas de lo que se trata el SQL puedes venir y hacer todas las preguntas que quieras acerca de este tipo de seguridad básica.

También puedes dare un vistazo a recopilatorio de post relacionados con la inyección SQL y ese tipo de vulnerabilidades:
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_281109-t244090.0.html

Saludos y suerte!.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cabeceras http
Dudas Generales
miguelskk 6 6,717 Último mensaje 29 Abril 2011, 20:57 pm
por miguelskk
Modificar cabeceras de respuesta HTTP
Seguridad
K1ll1ng M4ch1n3 5 8,445 Último mensaje 20 Enero 2012, 23:07 pm
por adastra
como ocultar informacion de las cabeceras http de mi servidor?
Dudas Generales
th3k00k 2 5,568 Último mensaje 23 Mayo 2012, 23:10 pm
por th3k00k
Modificar Cabeceras HTTP
Hacking
3n31ch 0 2,133 Último mensaje 27 Febrero 2016, 06:11 am
por 3n31ch
Modificar cabeceras HTTP
Hacking
beto1555 3 2,678 Último mensaje 30 Noviembre 2020, 14:24 pm
por beto1555
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines