Adicionalmente a los formularios HTML, otro método para capturar, validar y enviar datos del usuario es utilizar un componente en el lado del cliente el cual se ejecuta en una extensión del navegador como Java o Flash. Cuando son empleados en las aplicaciones web pueden crear componentes completamente funcionales en el lado del cliente. Incluyendo validaciones complejas y manipulación de los datos capturados antes de su envío hacia el servidor.

Las aplicaciones usualmente utilizan controles en el lado del cliente para restringir los datos enviados por los clientes. Los formularios HTML son la manera más sencilla y simple de capturar datos desde el usuario y enviarlos hacia el servidor. Los usuarios escriben datos dentro de campos de texto nombrados, los cuales son enviados hacia el servidor como pares de nombre/valor. Los formularios también pueden imponer restricciones o realizar verificaciones de validación sobre los datos proporcionados por el usuario.

Uno de los mecanismos comúnmente encontrados para transmitir datos mediante el cliente es el ViewState de ASP.NET. Este es un campo oculto creado por defecto en todas las aplicaciones web ASP.NET. Contiene información serializada sobre el estado de la página actual. La plataforma ASP.NET emplea ViewState para mejorar el desempeño del servidor. Permite al servidor preservar los elementos dentro de la interfaz de usuario entre peticiones sucesivas sin la necesidad de mantener toda la información relevante al estado en el lado del servidor.

Las navegadores incluyen una cabecera de nombre “Referer” dentro de la mayoría de peticiones HTTP. Esta cabecera es utilizada para indicar la URL de la página origen de una petición, ya sea esto debido a un clic del usuario en un hiper vínculo o el envío de un formulario, como también debido a la referencia por parte de la página hacia otros recursos como imágenes. Por lo tanto, esto puede ser aprovechado como un mecanismo para transmitir datos mediante un cliente web.

Los campos ocultos en el formulario de una aplicación web son un mecanismo común para transmitir datos mediante un cliente de manera superficialmente inmodificable. Si un campo está oculto, este no será mostrado en la pantalla. Sin embargo, el nombre del campo y valor almacenados dentro del formulario son enviados de retorno hacia la aplicación web cuando el usuario envía el formulario.

Se intenta obtener huellas sobre las tecnologías empleadas en el servidor web, utilizando diversas pistas e indicadores.

Capturando el Banner

Las vulnerabilidades pueden existir en la capa correspondiente al servidor web, el cual permite descubrir contenidos o funcionalidades no enlazadas dentro de la aplicación web. Las fallas encontradas en el software del servidor web pueden permitir a un atacante listar el contenido de directorios u obtener el código fuente de páginas. Existen aplicaciones las cuales incluyen contenido por defecto, lo cual ayuda a atacarlas. Los scripts de ejemplo o diagnóstico pueden contener vulnerabilidades o funcionalidades aprovechables para propósitos maliciosos.

Una aplicación web puede incluir contenidos y funcionalidades no enlazados desde un contenido principal, pero los cuales pueden haber sido enlazadas en el pasado. En este escenario, es probable encontrar referencias a este contenido oculto en diversos repositorio históricos. Existen dos tipos principales de estos recursos.

Motores de Búsqueda

La mayoría de aplicaciones utilizan algún tipo de esquema para el nombramiento de su contenido y funcionalidad. Infiriendo desde recursos ya identificados dentro de la aplicación, es posible afinar el ejercicio automático de enumeración para incrementar la probabilidad de descubrir contenido oculto.

Después del duro trabajo de explotar un sistema, es una buena idea tener una manera sencilla de regresar al sistema después. Aunque sea parchado el servicio explotado será factible ganar acceso hacia el sistema. Metasploit incluye un script Meterpreter de nombre “persistence”, el cual creará un servicio Meterpreter disponible aunque el sistema sea reiniciado.