últimos mensajes de: zaphire - Página 1

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

3 Mayo 2024, 00:26 am

Tema destacado: Curso de javascript por TickTack

Mostrar Mensajes
Páginas: [1] 2

1	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 14 Febrero 2012, 12:40 pm
PRUEBA

2	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 9 Febrero 2012, 16:11 pm
prueba

3	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 9 Febrero 2012, 14:38 pm
@yoya: Muy bien!!! alguna pista???

4	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 9 Febrero 2012, 14:18 pm
@WHK Sí, pero tienes que decir quién está mas cercaaaa!!! para no perder el tiempo y trabajar en equipo

5	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 9 Febrero 2012, 12:12 pm
@jdc Claro, tengo presente que un token tiene que comportarse de esa forma, pero una mala implementación del mismo puede degenerar en la explotación exitosa del CSRF, por eso lo he verificado

6	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 9 Febrero 2012, 11:50 am
@Todos He estado pensando sobre el token. Y me he planteado lo siguiente: 1.- Si el hash contenido en el "sc" fuera siempre el mismo por sesión de usuario (quizás generado tomando como base el nombre del usuario) sería fácil determinarlo, pero ya lo he verificado y siempre es distinto, aleatorio, con lo cual... $:-\$

7	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 9 Febrero 2012, 10:58 am
@adrianmendezRap Muy buena idea...ya te digo algo a ver qué se me ocurre.

8	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 9 Febrero 2012, 08:44 am
Buenos días, Anoche creo que se me ha ido la pinza (decidme algo si me equivoco); pero el XSS no me serviría de nada, puesto que el token ya ha sido generado y "conocemos" su valor; con lo cual... Lo que habría que determinar es con qué valores esta siendo generado. correcto???

9	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 9 Febrero 2012, 01:06 am
Muy buenas, Pues, como ya casi estamos viendo la luz al final del tunel, y al ver que lo indispensable ahora es saber determinar el valor del token de seguridad, me planteo varias posibilidades: 1.- Que el token pueda ser predecible de alguna manera. 2.- Si el token es completamente aleatorio, pues habría que intentar explotar una vulnerabilidad xss para poder coger dicho valor; en este particular, he intentado el PoC publicado por WHK hace ya algún tiempo, pero sin resultados satisfactorios. http://foro.elhacker.net/seo4smf-redirect.php?a=login2:javascript:alert(document.cookie); Obtengo un error 403 Forbidden por parte del servidor. Con lo que me parece, que me voy a decantar por la posibilidad de que sea predecible, pero lo tengo que pensar un poco, y ahora mismo me muero del sueño ¿Se os ocurre alguna idea chicos?

10	Seguridad Informática / Nivel Web / Re: Hackea a elhacker.net v2.0	en: 8 Febrero 2012, 17:17 pm
@Abakus, Perdona, no me había fijado que había invertido los valores de las variables en mi primer post. Gracias por la corrección. p.d: Ya he corregido el post en donde habia cometido el error.

Páginas: [1] 2

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines