Vulnerabilidades
Páginas: 2 (366 palabras)
Publicado: 16 de marzo de 2015
A.1 Injection SQL
Para verificar si la página es vulnerable a este tipo de ataque introducimos en la barra de búsqueda cualquier cosa. En este caso puse mi Nombre “JuanDa” y esta fue la respuesta:Nos devolvió una consulta de SQL, ahora sabemos que hay una tabla llamada “itemdb”, con ese fato podemos saber la manera en la que se nombran las tablas, en el login vamos a introducir la siguienteconsulta en la parte del email atacando la tabla llamada “userdb”:
“1' union select *from userdb-- “
Ahora nos dice que estamos registrados como Test User
Ahora si miramos “Ver compras previas” vemoscomo los datos de las celdas no corresponde con las columnas
Lo que muestra son los usuarios con el correo, contraseña y rol.
A.2 Autenticación y Gestión de Sesiones:
Podemos entrar directamentecomo administrador poniendo la siguiente línea Tanto en email como en password: “admin' or'x'='x”
Para sabe si estamos realmente como administrador cambiamos en la barra de navegación “login” por“admin” Quedando así: http://192.168.1.7/cgi-bin/badstore.cgi?action=admin
Intentemos cualquier acción:
A.3: Secuencia de Comandos en Sitios Cruzados (XSS)
Esta vulnerabilidad se encuentra en ellibro de visitas, En mensaje ponemos la siguiente línea:
Al darle añadir entrada nos debería redirigir a lapágina que pusimos, en este caso Google.
A.4: Referencia Directa Insegura a Objetos
Podemos insgresar al portal de Proveedores si ingresamos en el buscador los siguiente:http://192.168.1.7/cgi-bin/badstore.cgi?action=supplierportal
Como no estamos registrados como proveedor, no podremos hacer nada, por lo tanto nos mostrara la siguiente ventana:
A.5 Configuración errónea de Seguridad
Vamos aingresar al archivo robots.txt, en el cual se guarda la configuración de la página.
Para ello escribimos lo siguiente en la barra de búsqueda del navegador: “http://192.168.1.7/robots.txt”
Esto nos...
Para verificar si la página es vulnerable a este tipo de ataque introducimos en la barra de búsqueda cualquier cosa. En este caso puse mi Nombre “JuanDa” y esta fue la respuesta:Nos devolvió una consulta de SQL, ahora sabemos que hay una tabla llamada “itemdb”, con ese fato podemos saber la manera en la que se nombran las tablas, en el login vamos a introducir la siguienteconsulta en la parte del email atacando la tabla llamada “userdb”:
“1' union select *from userdb-- “
Ahora nos dice que estamos registrados como Test User
Ahora si miramos “Ver compras previas” vemoscomo los datos de las celdas no corresponde con las columnas
Lo que muestra son los usuarios con el correo, contraseña y rol.
A.2 Autenticación y Gestión de Sesiones:
Podemos entrar directamentecomo administrador poniendo la siguiente línea Tanto en email como en password: “admin' or'x'='x”
Para sabe si estamos realmente como administrador cambiamos en la barra de navegación “login” por“admin” Quedando así: http://192.168.1.7/cgi-bin/badstore.cgi?action=admin
Intentemos cualquier acción:
A.3: Secuencia de Comandos en Sitios Cruzados (XSS)
Esta vulnerabilidad se encuentra en ellibro de visitas, En mensaje ponemos la siguiente línea:
Al darle añadir entrada nos debería redirigir a lapágina que pusimos, en este caso Google.
A.4: Referencia Directa Insegura a Objetos
Podemos insgresar al portal de Proveedores si ingresamos en el buscador los siguiente:http://192.168.1.7/cgi-bin/badstore.cgi?action=supplierportal
Como no estamos registrados como proveedor, no podremos hacer nada, por lo tanto nos mostrara la siguiente ventana:
A.5 Configuración errónea de Seguridad
Vamos aingresar al archivo robots.txt, en el cual se guarda la configuración de la página.
Para ello escribimos lo siguiente en la barra de búsqueda del navegador: “http://192.168.1.7/robots.txt”
Esto nos...
Leer documento completo
Regístrate para leer el documento completo.