Título: Introduccion al HTTP Hacking By Zero Bits Publicado por: Zero_Bits en 27 Septiembre 2009, 04:28 am Introducción al HTTP Hacking
Este solo es una mera introduccion al HTTP Hacking hablando de los metodos y algunos ejemplos de como funcionan. Antes lean esto: HTTP (http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol) Headers (http://es.wikipedia.org/wiki/Headers) Ya que leyeron, explicare los metodos HTTP.... Metodos HTTP: GET: Viene activado por defecto, puede obtener info de un fichero y tambien solicita una pagina. HEAD: El server devuelve los headers de la pagina, gracias a eso podemos sacar buena info del Servidor. Ej: Vamos a usar el MS-DOS con google.co.ve Abromps el MS-DOS y escribimos "nc www.google.co.ve 80", se conectara en la linea de abajo de eso, escribimos: HEAD / HTTP/1.1, le damos dos veces a ENTER para confirmar y nos tira informacion como esta: (http://i30.tinypic.com/al5kli.gif) Cache-Control:Directivas que deben ser usadas a lo largo de la peticion Content-Type:Con lo que salio, deben imaginarse Set-Cookie:La cookie Nos puede dar esa o mejor Informacion, depende del Servidor... OPTIONS: Aqui esta otro que nos da mucha info, tambien informa de los metodos permitidos por el Servidor. Ej: Probemos con E-R00T.ORG este metodo xD: (http://i26.tinypic.com/2eb4b2h.gif) Podemos ver que info que sabran que es como DATE (La fecha actual), Server (Me imagino que ya sabran con lo que leyeron xD), Content-Length (Numero de caracteres), pero para quienes no conocen a ALLOW, dice los metodos permitidos por el Servidor, entonces aqui se permiten GET, HEAD, POST, OPTIONS y TRACE. TRACE: Responde lo que le enviemos, podremos aprovecharnos de esa haciendo XSS o cualquier otra cosa como Floodearlo... Ej: Citar nc www.web.com TRACE / HTTP/1.0 <script>alert("Probando TRACE")</script> Netcat dira si se llego a lograr o no... POST: Podemos hacer que el servidor acepte informacion enviada por nosotros. Ej: Podemos hacer que un uploader acepte una imagen con contenido malicioso. PUT: Cuando vean que el servidor acepte PUT, leyendo esto puede que se emocionen, ya que PUT permite modificar un fichero. Ej: Citar PUT /index.html HTTP/1.0 Content-Length: 14 <h1>Owned</h1> Content-Length, es el numero de caracteres.... Dependiendo de si funciona o no, te lo dira... A veces piden autorizacion, dependiendo de la seguridad, solo ahi que poner la IP o nombre del Servidor. DELETE: Borra un fichero. Ej: nc www.web.com 80 DELETE /index.html HTTP/1.0 Bueno ya hemos terminado esta breve Introduccion al Http Hacking... Pueden leer tutos: * Aprende a usar Live http Headers * HTTP al Descubierto By Sknight & Vengador de las Sombras Autor: Zero Bits Fecha: 24/07/09 Team: Pandoras Box Team |