X-Forwarded-For (Re: Escaneo a Terceros (Re: [HACK] What is My IP + Consulta Firmware Nokia))
David A. Pérez
kamborio at hotmail.com
Tue Jan 28 12:58:03 CET 2003
Hola,
> Bueno, no es nada nuevo. Lo mejor es q busques en páginas de proxies
> y chequeos de anonimicidad de los mismos. Recuerdo haber visto en
Ya he buscado un poco pero no he encontrado mucho. Alguna otra cabecera
similar que se este usando y se pueda "honrar"?
> La gracia de todo esto es si, como ha explicado Jesús, encuentras un
> servicio (como el de escaneo de seguridad) que haga caso a alguna de
> estas cabeceras. Como son simples cabeceras HTTP se pueden cambiar muy
> facilmente. De esta forma, el servicio (scan de puertos, p.ej) se
> lanzaría contra la IP dada "artificialmente" por nosotros (la de la
> cabecera "especial"), pero el resultado del scan se nos mostraría a
> nosotros, usando el canal HTTP q tenemos abierto (vamos, el servidor
> web al q estamos conectados).
Pues vaya fallo de diseño no? O sea, que puedo hacer un scaneo de puertos a
nasa.gov sin que se enteren de que soy yo? Ni siquiera el que me "cede" los
servicios de scan puede saber que lo he hecho a menos que que haya
modificado su applicacion web para guardar esta informacion. Los servidores
no guardan las cabeceras (excepto por ejemplo, las cookies o el referrer o
el user-agent).
No solo eso... y todos esos servicios que comprueban la velocidad de tu
conexion... tambien honran esa cabecera? Por que si se localican tres o
cuatro que la honren, bonito DDoS que podemos lanzar...
Salu2,
David A. Pérez
http://www.kamborio.com/
_ _ _
| | __ __ _ _ __ ___ | |__ ___ _ __ (_) ___
| |/ / / _` || '_ ` _ \ | '_ \ / _ \ | '__|| | / _ \
| < | (_| || | | | | || |_) || (_) || | | || (_) |
|_|\_\ \__,_||_| |_| |_||_.__/ \___/ |_| |_| \___/
El perdón es la venganza de los buenos (anónimo)
More information about the hacking
mailing list