Informática, Actualidad Digital, Consejos sobre seguridad, Conoce el modus operandi de los hackers para saber como protegerte.

Bienvenido al Foro el Informático. Puedes intercambiar enlaces con Nosotros.

    Vulnerabilidades en los formularios Web, El Form Tampering.

    Comparte

    System
    Admin
    Admin

    Cantidad de envíos : 37
    Fecha de inscripción : 09/04/2009

    Vulnerabilidades en los formularios Web, El Form Tampering.

    Mensaje por System el Sáb Ago 22, 2009 3:43 pm

    Hay muchos tipos de vulnerabilidades que se pueden encontrar un una página web, aquí vamos a verlos fallos de programación solamente.

    Las principales vulnerabilidades son:
    Form Tampering
    Restriction Bypass
    File inclusión
    Code Inyection (Html Injection, Java Injection, VBS Injection, PHP inyection).
    Xss o Cross Site Scripting
    Sql Injection.

    Los hackers, para aprovechar estas vulnerabilidades, suelen actuar principalmente de dos modos, enviando información modificada por elos a través de nuestro navegador (o con un sniffer, la otra opción es por telnet, si se quiere tener mas control sobre lo que está ocurriendo o modificando las cookies.

    El Form Tampering
    Son modificaciones de campos que ya hayan sido asignados y que suelen estar ocultos al usuario. Por ejemplo, en una tienda podrían tener un campo oculto con el precio del producto, con lo cual, si un hacker logra modificar dicho campo, podría poner el precio que quisiéramos a la hora de realizar el pedido.
    ¿Cómo ven los hackers los campos ocultos?
    Existen varias formas.

    Mirando el código fuente de la página.
    Usando un sniffer o el netcat al enviar información.
    Usando firefox con la extensión WebDeveloper.
    Para ver el código fuente de la página es sencillo. Basta con pulsar el botón secundario de ratón.

    Un sniffer o el netcat, les informaría de las variables que se envían cada vez que se rellena un formulario.
    La manera habitual que utilizaría un hacker sería usando un sniffer, ya que aquí les mostraría todo el proceso de envío y respuesta, pero en ocasiones no es necesario realizar la operación completa, para lo cual utilizan la siguiente opción.

    En primer lugar habría que poner el netcat a la escucha en un puerto cualquiera y luego configurar la opción de proxy del navegador para que apunte al puerto en que se situó el netcat, y cuando se envié el formulario, veremos toda la petición completa, junto con las variables que se asignan y sus valores.

    Los datos que nos muestra el netcat se copiarían al notepad y lo modificaríamos a nuestro gusto, dejando un doble intro al final para luego seleccionar todo el texto y enviar esta petición por telnet y recibir la respuesta en un archivo .html

    La manera más fácil de ver los campos ocultos es con la herramienta de firefox que mencione anteriormente. WebDeveloper.
    Una vez hecho esto, solo le quedaría buscar una presa fácil en la que poder alterar fácilmente dichos campos del formulario.

    Ya lo saben, si son programadores de html, procuren evitar los campos ocultos, o por lo menos compagínenlos con sesiones u otras medidas de seguridad.

    Más adelante explicaremos las demás técnicas y detallaremos en qué consisten
    Restriction Bypass
    File inclusión
    Code Inyection (Html Injection, Java Injection, VBS Injection, PHP inyection).
    Xss o Cross Site Scripting
    Sql Injection.

      Fecha y hora actual: Dom Feb 19, 2017 1:46 pm