[SOLUCIONADO] ¿Hacer un Fuzzer propio o no - servidor chat?

Hola, tengo una duda:

Que es mejor:

¿ Hacer un Fuzzer o buscar uno mismo bugs si se trata de un servidor de chat?

Gracias y saludos

Buscar manualmente vulnerabilidades siempre ha sido lo más eficaz, aunque todos empezamos por lo mismo, con la ayuda de algún programa de terceros como el famoso Acunetix.

Saludos

Hola Stiuvert,

pero como puedo buscar vulnerabilidades manualmente? Si el programador se equivoco, como no se va a equivocar una persona en busca de vulnerabilidades de la manera que no se de cuenta de una vulnerabilidad?


Gracias y saludos

Esa es la gracia, el que busca vulnerabilidades debe saber más que el programador.

Si no sabes absolutamente nada te recomiendo que entres al subforo talleres y practiques las vulnerabilidades típicas; SQL injection, XSS...

Saludos

Hola Stiuvert,

pero y si la vulnerabilidad no se trata de SQL ni de XSS?

Ya que me refiero a un servidor de chat que solo fue programado en C#. En este caso... que puedo hacer?


Gracias y saludos

No importa el lenguaje el cual fue programado, el chat Messenger de Facebook fue vulnerado por un código HTML bastante sencillo.

Es cuestión de ver donde está alojado ese chat, ver el tipo de Servidor, que contiene, directorios, intentar colar una shell para obtener control remoto, ingeniería inversa con la víctima, plugins instalados o desactualizados, etc

Saludos

Hola Stiuvert,

espera...

1) A que te refieres con a donde esta alojado el chat? En una red P2P?
2) Cuantos tipos de servidores existen? Cuales?
3) A que te refieres con que contiene?
4) Hablemos de Sb0t. Sb0t no tiene directorios. O a que te refieres?


Gracias y saludos

Los ejemplos que te doy no están enfocados específicamente a tu pregunta sino a ámbito general.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
1) A que te refieres con a donde esta alojado el chat? En una red P2P?

Ver si está alojado en algún CMS en particular, o está programado totalmente por el programador.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
2) Cuantos tipos de servidores existen? Cuales?

Podría estar alojado en un hosting, VPS o en local.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
3) A que te refieres con que contiene?

Dentro de un CMS puedes encontrar plugins desactualizados y posiblemente vulnerables. Además si buscas vulnerabilidades no te debes fijar en lo primero que veas, intenta indagar y busca otras vías, como por ejemplo la subida de una shell.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
4) Hablemos de Sb0t. Sb0t no tiene directorios. O a que te refieres?

No lo conozco, lo he estado mirando y claro, no es sencillo. No es como buscar una web vulnerable a XSS.
Yo te he guiado un poco hablando a modo general. Ahora depende de ti empezar a investigar y sobretodo a comprender que tipos de vulnerabilidades existen y como explotarlas.


Más de esto yo no te puedo ayudar, saludos

Hola Stiuvert,

y adonde puede leer sobre como colar o subir una shell en un servidor escrito totalmente en C#(nada de web ni XSS)?

Gracias y saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola Stiuvert,

pero en los links solo se habla de subir shells a servidores web y no a servidoresno web como Sb0t, que fue completamente programado en C#. Verdad?

Gracias y saludos

Exactamente

Desconozco como hacerlo en ese chat en C#.

Saludos

Emmm....

solo pregunte si subir una shell en un servidor de chat escrito completamente en C# es posible...


Gracias

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, no abras dos topics para lo mismo por favor, marco este como solucionado y te contesto en el otro (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta)