ReYDeS's blog

Decompilar Applets Java de una Aplicación Web

  • Posted on: 30 January 2015
  • By: ReYDeS

Adicionalmente a los formularios HTML, otro método para capturar, validar y enviar datos del usuario es utilizar un componente en el lado del cliente el cual se ejecuta en una extensión del navegador como Java o Flash. Cuando son empleados en las aplicaciones web pueden crear componentes completamente funcionales en el lado del cliente. Incluyendo validaciones complejas y manipulación de los datos capturados antes de su envío hacia el servidor.

Evadir Restricciones de Datos Enviados por el Usuario en Formularios HTML

  • Posted on: 29 January 2015
  • By: ReYDeS

Las aplicaciones usualmente utilizan controles en el lado del cliente para restringir los datos enviados por los clientes. Los formularios HTML son la manera más sencilla y simple de capturar datos desde el usuario y enviarlos hacia el servidor. Los usuarios escriben datos dentro de campos de texto nombrados, los cuales son enviados hacia el servidor como pares de nombre/valor. Los formularios también pueden imponer restricciones o realizar verificaciones de validación sobre los datos proporcionados por el usuario.

Evaluar el ViewState de ASP NET

  • Posted on: 22 January 2015
  • By: ReYDeS

Uno de los mecanismos comúnmente encontrados para transmitir datos mediante el cliente es el ViewState de ASP.NET. Este es un campo oculto creado por defecto en todas las aplicaciones web ASP.NET. Contiene información serializada sobre el estado de la página actual. La plataforma ASP.NET emplea ViewState para mejorar el desempeño del servidor. Permite al servidor preservar los elementos dentro de la interfaz de usuario entre peticiones sucesivas sin la necesidad de mantener toda la información relevante al estado en el lado del servidor.

La Cabecera Referer

  • Posted on: 21 January 2015
  • By: ReYDeS

Las navegadores incluyen una cabecera de nombre “Referer” dentro de la mayoría de peticiones HTTP. Esta cabecera es utilizada para indicar la URL de la página origen de una petición, ya sea esto debido a un clic del usuario en un hiper vínculo o el envío de un formulario, como también debido a la referencia por parte de la página hacia otros recursos como imágenes. Por lo tanto, esto puede ser aprovechado como un mecanismo para transmitir datos mediante un cliente web.

Mostrar los Campos Ocultos de un Formulario utilizando ZAP

  • Posted on: 20 January 2015
  • By: ReYDeS

Los campos ocultos en el formulario de una aplicación web son un mecanismo común para transmitir datos mediante un cliente de manera superficialmente inmodificable. Si un campo está oculto, este no será mostrado en la pantalla. Sin embargo, el nombre del campo y valor almacenados dentro del formulario son enviados de retorno hacia la aplicación web cuando el usuario envía el formulario.

Escanear un Servidor Web utilizando Wikto

  • Posted on: 14 January 2015
  • By: ReYDeS

Las vulnerabilidades pueden existir en la capa correspondiente al servidor web, el cual permite descubrir contenidos o funcionalidades no enlazadas dentro de la aplicación web. Las fallas encontradas en el software del servidor web pueden permitir a un atacante listar el contenido de directorios u obtener el código fuente de páginas. Existen aplicaciones las cuales incluyen contenido por defecto, lo cual ayuda a atacarlas. Los scripts de ejemplo o diagnóstico pueden contener vulnerabilidades o funcionalidades aprovechables para propósitos maliciosos.

Utilizar Información Pública para Mapear una Aplicación Web

  • Posted on: 13 January 2015
  • By: ReYDeS

Una aplicación web puede incluir contenidos y funcionalidades no enlazados desde un contenido principal, pero los cuales pueden haber sido enlazadas en el pasado. En este escenario, es probable encontrar referencias a este contenido oculto en diversos repositorio históricos. Existen dos tipos principales de estos recursos.

Motores de Búsqueda

Crear una Puerta Trasera Persistente utilizando Meterpreter

  • Posted on: 10 December 2014
  • By: ReYDeS

Después del duro trabajo de explotar un sistema, es una buena idea tener una manera sencilla de regresar al sistema después. Aunque sea parchado el servicio explotado será factible ganar acceso hacia el sistema. Metasploit incluye un script Meterpreter de nombre “persistence”, el cual creará un servicio Meterpreter disponible aunque el sistema sea reiniciado.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/


Libro Fundamentos de Hacking Web 2ed 2024
Libro Fundamentos de Hacking Ético 2ed 2024