|
Título: Experiencia de hackeo Publicado por: 3n31ch en 9 Agosto 2015, 01:48 am Hola amigos, hoy he tenido una buena experiencia y quisiera compartirla con ustedes, y a su vez, seria genial que me cuenten su experiencia acerca de este tema.
Hoy "hackie" mi primer sitio web. Este sitio web corresponde a un instituto profesional de mi país, y gracias a una vulnerabilidad del sitio, pude acceder a su intranet. Aun hay muchas mas vulnerabilidades que me gustaría explotar, pero este primer paso me lleno por completo. Les comento... Hace unos tres días atrás, me tope con este sitio web, y me llamo la atención que todo el sitio era muy "actual", exceptuando el login de su intranet... Gracias a esto pude suponer que el sitio había sido actualizado pero el login no fue tocado en ningua instancia, y es por esto, que también supuse que quizás fuera vulnerable. Haciendo pruebas, encontré un error fatal, el login de alguna manera era vulnerable a sqlinjection, si bien validaba algunas cosas como que no se pusieran apostrofes, no validaba otras que me fueron de utilidad para acceder. Pase tres días ocasionando errores en el sitio (durante mis tiempos de osio) y gracias a esto pude obtener los nombres de sus tablas de bases de datos y algunos campos... Con esto al tercer día logre acceder... Es una estupidez, y ni siquiera merece ser llamado "hackeo" (en el sentido burdo y comercialmente dado a la palabra) Pero de todas maneras me lleno de felicidad. Posterior a esto localice a un administrador del instituto para indicarle la vulnerabilidad, y explicarles como se puede solucionar. Sinceramente no pensé que algo tan estúpido me podría hacer tan feliz... Pero lo fue. Asi que solo quería compartirlo con ustedes, y quizás ustedes podrían contar alguna historia. PD: No creo que este tema este contra las reglas del foro, pero de así serlo, lo lamento mucho |