elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Comparativa y análisis mejores sistemas de videollamadas


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  No entiendo como funciona éste tipo de parámetro en sitio web
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: No entiendo como funciona éste tipo de parámetro en sitio web  (Leído 8,133 veces)
Luis Leon B

Desconectado Desconectado

Mensajes: 26


Ver Perfil
Re: No entiendo como funciona éste tipo de parámetro en sitio web
« Respuesta #10 en: 2 Agosto 2017, 19:38 »

No es un directorio. Se parsea mediante el servidor web. En llaman reglas de reescritura o rewrite rules. En este caso, es un ejemplo de lo que no hay que hacer ya que es poco intuitivo y mal interpretado por muchos buscadores pero simplemente apunta al archivo root (normalmente un index) del directorio principal.

Es decir, en realidad podría quedar como:
http://www.ejemplo.com/index.aspx/SEARCHED/ST=mi_busqueda/gbpws.aspx

Por que puede. En realidad ese archivo no lo llama directamente el navegador. Es un parámetro para el archivo principal que como he dicho antes, seguramente sea el archivo root del directorio principal.

No puedes jugar con parámetros GET ya que estan mal estructurados en esa pagina. En SQLMAP tendrías que indicar un parametro propio como parte de la url.

Esto es, crear un punto de inyección añadiendo un asterisco * donde quieras que inyecte. En este caso, seria:

http://www.ejemplo.com//SEARCHED/ST=algo*/gbpws.aspx

Puedes leer mas sobre esto aquí:
https://github.com/sqlmapproject/sqlmap/wiki/Usage#uri-injection-point




Ten en cuenta que el servidor puede interpretar muchas cosas de muchas maneras. De hecho, esto es una url perfectamente valida:

http://ejemplo.com/index.php/test.php/hola.php?param=holaKase/ola=kase

Esta mal estructurada en un principio, pero es completamente valida. En nGInx esto por ejemplo se configuraria asi:

Código:
location / {
    try_files $uri $uri/ /index.php?$query_string;
}

En PHP por ejemplo podrias tener un index asi:

Código
  1. <?php
  2. echo '<pre>';
  3. echo $_SERVER['REQUEST_URI'];
  4. print_r(explode('/', $_SERVER['REQUEST_URI']));
  5. ?>

Entonces al ejecutar esa url, te devolvería:
Código:
/index.php/test.php/hola.php?param=holaKase/ola=kase

Array(
    [0] =>
    [1] => index.php
    [2] => test.php
    [3] => hola.php?param=holaKase
    [4] => ola=kase
)


Y si, es recomendable que practiques un poco de programación, sobre todo lo que son los enrutadores (routers) y el protocolo HTTP.

Saludos

Sabes por qué $uri/ da un forbidden 403? Siempre que utilizo ese parámetro en try_files tira error.
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
No entiendo como funciona un cambiador de íconos u.u
Programación General
S3kh 0 713 Último mensaje 17 Septiembre 2011, 01:38
por S3kh
¿como saber este hash? no lo entiendo
Criptografía
oco 2 2,048 Último mensaje 21 Octubre 2012, 17:08
por oco
por favor ayuda con este programa no entiendo como hacerlo
Programación C/C++
enrix507 1 749 Último mensaje 16 Julio 2014, 06:41
por engel lex
ayuda no entiendo como hacer este programa
Programación C/C++
ESTUDIANTEant 1 823 Último mensaje 15 Marzo 2015, 13:29
por NOIS
No entiendo un parametro de mi funcion
Programación C/C++
pablombf 1 509 Último mensaje 20 Febrero 2018, 01:56
por marcebond
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines