• Auditoria Web

  • Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
 #187388  por Skillmax
 01 Jun 2010, 18:53
Se reportarán los bugs que ya estén reportados al admin de la web



Ejemplo:


Web: www.ejemplo.es

Link del error/archivo: www.ejemplo.es/noticias.php?id= / datos.php (Depende de la inyención)

Metodo utilizado: Blind SQL

Descubridor: SkillmaX

Panel
: www.ejemplo.es/login/


Otros datos de interés
: No pude terminar la inyección por que no tenía mas cervezas.



Un saludo y a reportar vulns! ^^
 #187416  por $DoC
 01 Jun 2010, 20:21
esta genial la idea SkillmaX, lo unico que algun chico malo se aprovechará y no reportará el bug, ara lo contrario...

SALUDOS!!
 #187417  por falkoner
 01 Jun 2010, 20:21
Oye bro, podrias poner conque herramientas encuentras las vulnerabilidades y como las explotas?
 #187421  por Skillmax
 01 Jun 2010, 20:26
Dr_HaCk, todas las webs que se suban a este post las veré si están corregidas el fallo, si no, la reportaré
yo otra vez.


Falkoner, lo hago todo manualmente.


offtopic//: Os pediria que no llenarais de comentarios este post, y solo nos dediquemos a publicar reportes de webs, cualquier duda por MP amigos.


Un saludo!
 #187664  por Skillmax
 02 Jun 2010, 13:20
WEB: http://coitt.es

Error: http://coitt.es/index.php?page=noticias ... cod=233%27

Método Utilizado: Se puede Utilizar SQLi

Descubridor: SkillmaX

Panel: Se logea desde la pagina.


Otros comentarios: Esta web tiene algo de importancia, por que es el Colegio Oficial de Ingenieros Tecnicos en telecomunicación de España.
 #187690  por deck
 02 Jun 2010, 14:08
Skillmax escribió:WEB: http://coitt.es

Error: http://coitt.es/index.php?page=noticias ... cod=233%27

Método Utilizado: Se puede Utilizar SQLi

Descubridor: SkillmaX

Panel: Se logea desde la pagina.


Otros comentarios: Esta web tiene algo de importancia, por que es el Colegio Oficial de Ingenieros Tecnicos en telecomunicación de España.
corrige el link no va
 #187704  por yeikel
 02 Jun 2010, 15:00
Web : http://www.cinefantastico.com/


Error : http://www.cinefantastico.com/articulo.php?id='

Método Utilizado : Sql Injection

Descubridor : Yeikel

Panel: No buscado

Info extra : Con la inyección no se puede sacar mucha información más que la estructura y contenido de la db , pero no hay datos tipo login que pueden hacer que la web sea hackeada

Estado : No reportado ( no veo a quien reportarle el bug )
------------------------------------------------------------------------------------------------
Web : http://www.mediks.com/


Error : http://www.mediks.com/saludyvida/articulo.php?id='

Método Utilizado : Sql Injection

Descubridor : Yeikel

Panel: No encontrado

Estado : No reportado


------------------------------------------------------------------
 #187734  por p0is0n-123
 02 Jun 2010, 17:56
Le pongo chincheta ya que aprenden mucho viendo las vuilenrabilidades y demas
Pongan tambien como encontraron la pagina y demas

Salu2
 #187750  por Skillmax
 02 Jun 2010, 19:32
p0is0n-123 escribió:Le pongo chincheta ya que aprenden mucho viendo las vuilenrabilidades y demas
Pongan tambien como encontraron la pagina y demas

Salu2

Gracias poison, un saludo
 #187768  por Skillmax
 02 Jun 2010, 20:09
WEB: http://www.confederaciongaucha.com.ar

Error: http://www.confederaciongaucha.com.ar/n ... php?id=%27

Metodo Utilizado
: SQL injection y también tiene fallo XSS

Descubridor
: SkillmaX

Panel: No buscado


Otros comentarios
: Tiene varios errores pero el mas facil de explotar es el SQL, tiene también XSS y le he visto un FPD (Full path Dicloure)


EDITO: Siento hacer doble post, pero es que no puedo editar los mensajes de antes, espero que no me peguen los mods :( ^^

Un saludo!
 #187802  por deck
 02 Jun 2010, 22:06
Web: http://www.nicoll.com.br
Error: http://www.nicoll.com.br/noticias.php?id='
Metodo Utilizado: SQL
Descubridor: Deck
Panel: No encontrado

Web: http://veterinariamercal.com
Error: http://veterinariamercal.com/noticias.php?id='
Metodo: SQL
Descubridor: Deck
Panel: No Encontrado

Web: http://www.tenistalca.cl
Error: http://www.tenistalca.cl/https/noticias.php?id='
Metodo: SQL
Descubridor: Deck
Panel: No Lo Busque

Ya subire mas q tengo pero me da pereza ponerme a escribir
  • 1
  • 2
  • 3
  • 4
  • 5
  • 14