Introducción al HTTP Hacking
Este solo es una mera introduccion al HTTP Hacking hablando de los metodos y algunos ejemplos de como funcionan. Antes lean esto:
HTTP (http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol)
Headers (http://es.wikipedia.org/wiki/Headers)
Ya que leyeron, explicare los metodos HTTP....
Metodos HTTP:GET: Viene activado por defecto, puede obtener info de un fichero y tambien solicita una pagina.
HEAD: El server devuelve los headers de la pagina, gracias a eso podemos sacar buena info del Servidor.
Ej: Vamos a usar el MS-DOS con google.co.ve
Abromps el MS-DOS y escribimos "nc www.google.co.ve 80", se conectara en la linea de abajo de eso, escribimos: HEAD / HTTP/1.1, le damos dos veces a ENTER para confirmar y nos tira informacion como esta:
(http://i30.tinypic.com/al5kli.gif)
Cache-Control:Directivas que deben ser usadas a lo largo de la peticion
Content-Type:Con lo que salio, deben imaginarse
Set-Cookie:La cookie
Nos puede dar esa o mejor Informacion, depende del Servidor...
OPTIONS: Aqui esta otro que nos da mucha info, tambien informa de los metodos permitidos por el Servidor.
Ej: Probemos con E-R00T.ORG este metodo xD:
(http://i26.tinypic.com/2eb4b2h.gif)
Podemos ver que info que sabran que es como
DATE (La fecha actual),
Server (Me imagino que ya sabran con lo que leyeron xD),
Content-Length (Numero de caracteres), pero para quienes no conocen a
ALLOW, dice los metodos permitidos por el Servidor, entonces aqui se permiten
GET, HEAD, POST, OPTIONS y TRACE.
TRACE: Responde lo que le enviemos, podremos aprovecharnos de esa haciendo XSS o cualquier otra cosa como Floodearlo...
Ej: Citarnc www.web.com
TRACE / HTTP/1.0
<script>alert("Probando TRACE")</script>
Netcat dira si se llego a lograr o no...
POST: Podemos hacer que el servidor acepte informacion enviada por nosotros.
Ej: Podemos hacer que un uploader acepte una imagen con contenido malicioso.
PUT: Cuando vean que el servidor acepte PUT, leyendo esto puede que se emocionen, ya que PUT permite modificar un fichero.
Ej:CitarPUT /index.html HTTP/1.0
Content-Length: 14
<h1>Owned</h1>
Content-Length, es el numero de caracteres....
Dependiendo de si funciona o no, te lo dira... A veces piden autorizacion, dependiendo de la seguridad, solo ahi que poner la IP o nombre del Servidor.
DELETE: Borra un fichero.
Ej:nc www.web.com 80
DELETE /index.html HTTP/1.0
Bueno ya hemos terminado esta breve Introduccion al Http Hacking...
Pueden leer tutos:
* Aprende a usar Live http Headers
* HTTP al Descubierto By Sknight & Vengador de las Sombras
Autor: Zero Bits
Fecha: 24/07/09
Team: Pandoras Box Team
saludos, está muy interesante tu post, este tema de los Get y los Post es algo interesante y de mucha utilidad.
Voy a buscar algo por shodan haber is veo algun put http://www.shodanhq.com/search?q=PUT (http://www.shodanhq.com/search?q=PUT)