El Informático

¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.

Informática, Actualidad Digital, Consejos sobre seguridad, Conoce el modus operandi de los hackers para saber como protegerte.

Bienvenido al Foro el Informático. Puedes intercambiar enlaces con Nosotros.

    Vulnerabilidades en los formularios web, Restriction ByPass

    System
    System
    Admin
    Admin


    Cantidad de envíos : 37
    Fecha de inscripción : 09/04/2009

    Vulnerabilidades en los formularios web, Restriction ByPass Empty Vulnerabilidades en los formularios web, Restriction ByPass

    Mensaje por System Dom Ago 23, 2009 3:47 am

    Restriction ByPass

    Esta es una vulnerabilidad muy dificil de encontrar, requiere de mucha paciencia, requiere ir testeando mediante prueba/error y/o tener el código fuente de la web.
    Mediante esta técnica se pueden evadir ciertas restricciones, como por ejemplo denegar el acceso a alguna zona porque no somos administradores.

    Para conseguirlo hay que mirar el códio fuente y modificar las variables internas enviadas mediente post y que no son revisadas al pasar a la siguente página.

    Yo soy desarrollador de contenido web en varios lenguajes de programación, y habitualmente le digo a mis clientes que las páginas que yo hago, aunque mas simples, son bastante mas seguras que un Word Press, o un Jomla o incluso PhpBB2, algunos no se lo toman muy en serio, argumentando el buen funcionamiento de dichas programaciones, pero yo les digo una cosas y se convencen inmediatamente. "Las páginas webs que yo hago, son únicas, y nadie mas tiene el código fuente de mis páginas, por lo que nadie conoce las variables que mis webs manejan, ni siquiera nadie sabría decirme donde se encuentra el archivo que tiene los datos de conexión con el Mysql". Y es en este preciso momento cuando ellos me dan la razón.

    Por ejemplo: imaginémonos que yo tengo el código fuente de un portal creado con licencia GPL, o alguna parecida.

    Resulta que buscando en ese código fuente me doy cuenta que para acceder al panel de administración, tenemos que cumplir un requisito, que es proporcionarle la variable "a" que previamente se ha grabado en la cokie cuando se logea el administrador.
    Si yo supiera que añadiento una variable a la cokie accedería al panel de administración, me resultaria muy facil modificar la cokie consiguendo finalmente tener acceso.

    Las licencias GPL son un arma de doble filo, son baratas, pero.... ¿Son seguras?

      Fecha y hora actual: Miér Oct 30, 2024 2:46 am