comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Fuga de información en el código HTML de paginas web

  • 4 Respuestas
  • 1539 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Drok3r

  • *
  • Underc0der
  • Mensajes: 47
  • Actividad:
    13.33%
  • Reputación 1
    • Ver Perfil
    • RedBird
  • Twitter: @drok3r
« en: Abril 23, 2018, 10:43:34 pm »
 Cuando se realizan pruebas de seguridad y penetracion a paginas web o aplicaciones web, lo primero que se recomiendo hacer es analizar el codigo HTML. Esto se debe a que podemos encontrar informacion muy interesante (jugosa) que nos puede ayudar a encontrar fallos, comprender el como esta desarrollada la aplicacion o pagina web, sin embargo tambien tenemos algo muy curisos, los comentarios de los desarrolladores que pueden dejar olvidados.

Cada que tengamos una aplicacion web, o pagina web, de las primeras cosas que debemos hacer es inspeccionar el codigo HTML, pero ¿Para que?

Cuando inspeccionamos el codigo HTML podemos encontrar informacion como:

    Archivos
    Comentarios del desarrollador
    URL interesantes

Por ejemplo, si analizamos el codigo HTML de una pagina web, linea por linea (puede ser tardado o aburrido) nos encontramos con lo siguiente:



Tenemos un pequeño codigo PHP, cuando una aplicacion web necesita conectarse con una base de datos MySQL requiere de un conjunto de parametros para poder establecer la conexion como lo son el nombre del host, el nombre de la base de datos el usuario y contraseña. En el caso de nuestro codigo, tenemos un archivo que realiza una llamada
mysql_connect / mysql_pconnect que incluye las credenciales de conexión MySQL.

Lo que puede ser interesante, es el archivo "bokajnr.inc", lo que podemos hacer es lo siguiente No tienes permisos para ver links. Registrate o Entra con tu cuenta y veamos que pasa.



Podemos descargalo o abrirlo, en mi caso lo abri con Sublime Text un editor de textos muy bueno (lo recomiendo).



Pero que sorpresa... no?

Analizar el codigo HTML, es un punto clave e importante al momento de realizar pruebas de seguridad o penetracion, puede que encontremos algo que un desarrollador dejara olvidado como lo pueden ser notas al momento de desarrollar la pagina o aplicacion web, direcciones a archivos, incluso podemos dar con el Index.



Sitio vulnerable: @indoushka
Post: @No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado D0Nkey

  • *
  • Underc0der
  • Mensajes: 28
  • Actividad:
    5%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Mayo 11, 2018, 10:15:23 pm »
Como en los viejos tiempos, vaya buena investigación.
¿Ves?

Desconectado kackerweno

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Mayo 14, 2018, 01:10:46 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Como en los viejos tiempos, vaya buena investigación.

te sorpendenrias las cosas que pasan de altos programas como metasploit

Desconectado ronluas

  • *
  • Underc0der
  • Mensajes: 108
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
« Respuesta #3 en: Mayo 14, 2018, 02:20:44 pm »
Al parecer ya lo han modificado: 2018-05-14

Youtube: No tienes permisos para ver links. Registrate o Entra con tu cuenta - Twitter: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado EduardoDesdes

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Yahoo Instant Messenger - -
    • Ver Perfil
    • GSINT
    • Email
  • Skype: https://twitter.com/Eduardo_Desdes
« Respuesta #4 en: Julio 04, 2018, 02:25:56 pm »
Pues si, es muy curioso el nivel de fallos que puede realizar un programador descuidado. Porque crear un archivo .inc si con un archivo .php basta para guardar ahí los accesos a la base de datos. Las herramientas mas elaboradas no pueden detectar este tipo de errores o los pasan de largo por el simple hecho que usan algoritmos de reconocimiento de vulnerabilidades mas no tienen el razonamiento que tendría una persona, aunque existe la posibilidad que con el tiempo y con la inteligencia artificial se pueda llegar a realizar software mucho mas competentes sin la necesidad de un pentester. Pero por ahora, una auditoria completa se necesita de las dos partes, la manual y la automática.

Slds.

 

¿Te gustó el post? COMPARTILO!



WhoUr herramienta para recopilar informacion de una web y buscar webs a vul sqli

Iniciado por jopcode

Respuestas: 0
Vistas: 1171
Último mensaje Noviembre 30, 2017, 10:57:00 pm
por jopcode
¿Qué información se puede obtener explorando dominios?

Iniciado por Gabriela

Respuestas: 7
Vistas: 2973
Último mensaje Octubre 22, 2015, 01:08:58 pm
por shadowx