Hay muchos tipos de vulnerabilidades que se pueden encontrar un una página web, aquí vamos a verlos fallos de programación solamente.
Las principales vulnerabilidades son:
Form Tampering
Restriction Bypass
File inclusión
Code Inyection (Html Injection, Java Injection, VBS Injection, PHP inyection).
Xss o Cross Site Scripting
Sql Injection.
Los hackers, para aprovechar estas vulnerabilidades, suelen actuar principalmente de dos modos, enviando información modificada por elos a través de nuestro navegador (o con un sniffer, la otra opción es por telnet, si se quiere tener mas control sobre lo que está ocurriendo o modificando las cookies.
El Form Tampering
Son modificaciones de campos que ya hayan sido asignados y que suelen estar ocultos al usuario. Por ejemplo, en una tienda podrían tener un campo oculto con el precio del producto, con lo cual, si un hacker logra modificar dicho campo, podría poner el precio que quisiéramos a la hora de realizar el pedido.
¿Cómo ven los hackers los campos ocultos?
Existen varias formas.
Mirando el código fuente de la página.
Usando un sniffer o el netcat al enviar información.
Usando firefox con la extensión WebDeveloper.
Para ver el código fuente de la página es sencillo. Basta con pulsar el botón secundario de ratón.
Un sniffer o el netcat, les informaría de las variables que se envían cada vez que se rellena un formulario.
La manera habitual que utilizaría un hacker sería usando un sniffer, ya que aquí les mostraría todo el proceso de envío y respuesta, pero en ocasiones no es necesario realizar la operación completa, para lo cual utilizan la siguiente opción.
En primer lugar habría que poner el netcat a la escucha en un puerto cualquiera y luego configurar la opción de proxy del navegador para que apunte al puerto en que se situó el netcat, y cuando se envié el formulario, veremos toda la petición completa, junto con las variables que se asignan y sus valores.
Los datos que nos muestra el netcat se copiarían al notepad y lo modificaríamos a nuestro gusto, dejando un doble intro al final para luego seleccionar todo el texto y enviar esta petición por telnet y recibir la respuesta en un archivo .html
La manera más fácil de ver los campos ocultos es con la herramienta de firefox que mencione anteriormente. WebDeveloper.
Una vez hecho esto, solo le quedaría buscar una presa fácil en la que poder alterar fácilmente dichos campos del formulario.
Ya lo saben, si son programadores de html, procuren evitar los campos ocultos, o por lo menos compagínenlos con sesiones u otras medidas de seguridad.
Más adelante explicaremos las demás técnicas y detallaremos en qué consisten
Restriction Bypass
File inclusión
Code Inyection (Html Injection, Java Injection, VBS Injection, PHP inyection).
Xss o Cross Site Scripting
Sql Injection.
Las principales vulnerabilidades son:
Form Tampering
Restriction Bypass
File inclusión
Code Inyection (Html Injection, Java Injection, VBS Injection, PHP inyection).
Xss o Cross Site Scripting
Sql Injection.
Los hackers, para aprovechar estas vulnerabilidades, suelen actuar principalmente de dos modos, enviando información modificada por elos a través de nuestro navegador (o con un sniffer, la otra opción es por telnet, si se quiere tener mas control sobre lo que está ocurriendo o modificando las cookies.
El Form Tampering
Son modificaciones de campos que ya hayan sido asignados y que suelen estar ocultos al usuario. Por ejemplo, en una tienda podrían tener un campo oculto con el precio del producto, con lo cual, si un hacker logra modificar dicho campo, podría poner el precio que quisiéramos a la hora de realizar el pedido.
¿Cómo ven los hackers los campos ocultos?
Existen varias formas.
Mirando el código fuente de la página.
Usando un sniffer o el netcat al enviar información.
Usando firefox con la extensión WebDeveloper.
Para ver el código fuente de la página es sencillo. Basta con pulsar el botón secundario de ratón.
Un sniffer o el netcat, les informaría de las variables que se envían cada vez que se rellena un formulario.
La manera habitual que utilizaría un hacker sería usando un sniffer, ya que aquí les mostraría todo el proceso de envío y respuesta, pero en ocasiones no es necesario realizar la operación completa, para lo cual utilizan la siguiente opción.
En primer lugar habría que poner el netcat a la escucha en un puerto cualquiera y luego configurar la opción de proxy del navegador para que apunte al puerto en que se situó el netcat, y cuando se envié el formulario, veremos toda la petición completa, junto con las variables que se asignan y sus valores.
Los datos que nos muestra el netcat se copiarían al notepad y lo modificaríamos a nuestro gusto, dejando un doble intro al final para luego seleccionar todo el texto y enviar esta petición por telnet y recibir la respuesta en un archivo .html
La manera más fácil de ver los campos ocultos es con la herramienta de firefox que mencione anteriormente. WebDeveloper.
Una vez hecho esto, solo le quedaría buscar una presa fácil en la que poder alterar fácilmente dichos campos del formulario.
Ya lo saben, si son programadores de html, procuren evitar los campos ocultos, o por lo menos compagínenlos con sesiones u otras medidas de seguridad.
Más adelante explicaremos las demás técnicas y detallaremos en qué consisten
Restriction Bypass
File inclusión
Code Inyection (Html Injection, Java Injection, VBS Injection, PHP inyection).
Xss o Cross Site Scripting
Sql Injection.
» Se ha encontrado un fallo en las encriptaciones WPA/TKIP en Routers Wireless
» Consulta virus
» Cabeceras de Navegación, Nuestra huella digital en Internet
» El Panel solar con pelo humano
» ¡Alerta Worm! Nueva vulnerabilidad para WordPress
» ¿Cómo prevenir un escaneo de puertos?
» Un poco de cultura ¿Que es un rootkit?.
» Vulnerabilidades en los formularios web, Restriction ByPass