|
Título: [ayuda] Seguridad web de un usuario logueado Publicado por: hardjesjlc en 27 Marzo 2012, 12:48 pm Buenas,
Soy un poco nuevo por aquí, he estado buscando por el foro y no he encontrado nada parecido (quizás no busqué bien ;) ) Bueno os cuento, tengo una aplicación web en la que te logeas con usuario y contraseña. Quiero auditar la aplicacion por si un usuario logeado, es decir, dentro de la aplicacion puede atacarla. Por ejemplo, facebook, para entrar necesitas user y pass. Yo quiero auditar una vez dentro de "facebook" si esta web es <<vulnerable>> Para ello estoy usando w3af pero no consigo nada claro. Usé acunetix y funciona, es decir, es más facil de configurar para poner un user y un pass valido y empezar a auditar desde dentro. PD no quiero usar acunetix porque es de pago. Alguna idea, alguna otra aplicacion para auditar. Gracias Título: Re: [ayuda] Seguridad web de un usuario logueado Publicado por: hardjesjlc en 28 Marzo 2012, 10:13 am Investigando un poco creo que tengo que modificar la peticion http con (w3af) creo que se puede, alguna idea
Título: Re: [ayuda] Seguridad web de un usuario logueado Publicado por: afdlkglfgfdgfhgf en 1 Abril 2012, 23:19 pm nunca he utilizado ese programa pero revisa si tiene la opcion de enviar datos por post, la otra es generar una cookie( iniciando sesion en la web y cogiendo la cookie, tener en cuenta tanto User-Agent como referer ) y configurar para que utilize esa cookie.
for dummies : http://w3af.svn.sourceforge.net/viewvc/w3af/trunk/readme/EN/w3af-users-guide.pdf :silbar: Título: Re: [ayuda] Seguridad web de un usuario logueado Publicado por: hardjesjlc en 3 Abril 2012, 09:49 am Gracias juanplab
Creo que soy un poco torpe (o mucho segun se mire) Tengo la cookie, tengo la peticion post con el login y el pass que me devuelve un OK, Pero no es posible armar el w3af para que me haga un escaneo, siempre se me queda en la pantalla de inicio, es decir, cuando w3af esta dibujando el arbol de páginas solo dibuja la pantalla de inicio, no dibuja todo lo de dentro. Para que todos aprendamos he realizado la peticion POST con ieHTTPHeaders que te visualiza las peticiones y las respuestas que te va dando el servidor. Para sacar la cookies, en winXP estan en C:\Documents and Settings\ZZUSUARIOZZ\Local Settings\Temporary Internet Files No se si me explico, si necesitais más info, no dudeis en pedirla Un saludo Título: Re: [ayuda] Seguridad web de un usuario logueado Publicado por: rassiel en 20 Abril 2012, 16:34 pm pues te logueas en la pag con firefox por ejemplo, mediante tamper data copias la cookie, instalas proxomitron y pones esa cookie para que se envie, si tu programa permite la declaracion de proxy declaras 127.0.0.1:8080 y listo auditaras desde dentro
|