[HACK] Re: Re: Que hacer cuando se accede a un sistema

David A. Pérez kamborio at hotmail.com
Thu Mar 27 22:52:17 CET 2003


> La diferencia está en ese "poco mas", que es intencionado y premeditado,
> con la intención de acceder a datos de terceros de forma no autorizada.
> Que cueste poco esfuerzo, o nada, no significa que tropecemos y sin querer
> se entre en los sistemas.

Pero esa premeditacion es dificilmente probable. Y si el fallo esta en un
formulario de busqueda? En ingles hay muchas palabras que se escriben con
"'". Y si es un error de la aplicacion que desvela la ruta de un archivo
".inc"? Yo me he encontrado con mas errores de aplicacion por casualidad que
buscandoslos.

Pero aun siendo con premeditacion, quien dice que esa premeditacion es para
acceder a datos de terceros de forma no autorizada?

Y si ves una URL como:

http://servidor/error.asp?razon=Pagina+no+encontrada

Y en la pagina aparece en grande: "Pagina no encontrada" Debes probar con el
mas que repetido <script> para ver si hay un XSS y avisar o ignorar el hecho
por completo y esperar a que otro lo explote?

No estamos hablando de comprobar si un servidor no esta parcheado contra
vulnerabilidades conocidas (como la ultima de WebDAV por ejemplo). Muchas de
estas son vulnerabilidades que se encuentran navegando no son conocidas ni
lo seran nunca si no fuera por la curiosidad de un internauta que tuvo un
momento de lucidez, o de oportunismo!

La pregunta es: Es ilegal meter una comilla simple en un formulario web? Y
en caso afirmativo... la ilegalidad solo depende de la intencion y la
premeditacion?

Salu2,

David A. Pérez

                              http://www.kamborio.com/
 _                       _                   _
| | __  __ _  _ __ ___  | |__    ___   _ __ (_)  ___
| |/ / / _` || '_ ` _ \ | '_ \  / _ \ | '__|| | / _ \
|   < | (_| || | | | | || |_) || (_) || |   | || (_) |
|_|\_\ \__,_||_| |_| |_||_.__/  \___/ |_|   |_| \___/
      El perdón es la venganza de los buenos (anónimo)



More information about the hacking mailing list