• RETO ¿ Quien encuentra una vulnerabilidad a mi web ?

  • Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
 #493747  por elkobexx
 25 Abr 2018, 03:20
Hola que tal chicos,

tengo una web donde no utilizo base de datos , todos los registros los guardo en archivos txt

Quiero saber que tan protegidos están los archivos de mi web , ya que no veo por donde me puedan robar información

Mi web : [ Debe registrarse para ver este enlace ]

Quien me ayuda ?

De Antemano Gracias !
 #493749  por Scorpio
 25 Abr 2018, 23:52
Te iba a decir que pusieras comprobante de que era tuya pero ya vi lo de "NOTA ESTA PAGINA ESTA DISPUESTA AQUI PARA SER PROBADA". ¿Podrias disponer de un usuario de testeo para revisar? Cuando el usuario es erroneo el login.php me redirecciona a combatarms.valofe.eu sin mas. Aunque si solo estás tratando los textos, con no evaluar ningun tipo de codigo (Por ejemplo con el modificador /e en preg_match o preg_replace tratando los textos xD) y usar rutas hardcodeadas deberias ir bien. También no se te olvide no guardar ninguna contraseña en texto plano, usa SHA-512 con un buen SALT.

EDIT: No entiendo por que no usar una DB, pero ya que usas TXT de paso podrias cifrar toda la informacion con alguna clave maestra, por si a unas malas alguien logra leer el txt.

//Regards.
 #493750  por elkobexx
 26 Abr 2018, 02:01
Pero te hago la siguiente pregunta ¿ Pudiste Visualizar unos de los Archivos txt ?

lo que realmente me interesa saber por el momento es , si hay alguna forma de visualizar o descargar esos txt,
ya que hay guardo todos los registros, intente con wget y no eh podido ya que con wget solo puedo descargarlo si me se el nombre del archivo
llevo 3s días en eso y no eh podido ver ni descargar esos txt

sonara estúpido pero me siento mas vulnerable utilizando db , por eso estoy testiando aber si alguien puede llegar
a esos archivos txt que están en el directorio

xD
 #493907  por h1rd
 04 Jun 2018, 10:45
Hola,

Si quieres que te ayudemos a encontrar vulnerabilidad en tu web, por favor usa programas como hackerone o bugcrowd, que puedes hacerlo gratuitamente, por que asi va a ser poco realista para ti, y peligroso para nosotros,
digo que sera poco realista para ti, porque si es una web real, has modificado las condiciones para que al poner cualquier dato te reenvie a combatarms.valofe.eu, por lo que dudo que ese sea el funcionamiento real, y que seguramente lo hayas hecho asi para asegurarte tener la bbdd limpia etc.

Y digo que es peligroso para nosotros, porque sabemos y tenemos el permiso para testear [ Debe registrarse para ver este enlace ] no combatarms.valofe.eu por lo que, mal pensando podría ser posible que hubieras creado una pagina plana ligera para que hackearamos a combatarms.valofe.eu...

saludos
 #493909  por elkobexx
 05 Jun 2018, 01:31
combatarms.valofe.eu es la pagina official del juego , esta no me interesa para nada solo tengo que redirecione aya

[ Debe registrarse para ver este enlace ] esta es mi pagina y en mi directorio tengo unos archivos .txt no utilizo DB , y quiero saber si es posible que alguien
visualize o descargue esos txt de mi directorio ,

saludos
 #493968  por die595tack067
 30 Jun 2018, 05:04
pues ya que esta dando autorización de esa web

por el momento recolecto la siguiente información

IP: combatarms.eu.buscandoadory.com/ = 107.180.48.109
Puertos Abiertos: 11 = 21-22-25-80-110-143-443-587-993-995-3306 protocolo TCP
Servicios: smtp-tcpwrapped
O.S: Linux 2.4.37 SP2
LocalHost: 192.168.179.2

si lo desea seguire conmas búsqueda??

regards
 #493969  por elkobexx
 30 Jun 2018, 06:32
la vulnerabilidad que mas me afecta son los txt , porque hay guardo la información de los usuarios ,

pero por lo visto ese punto no es vulnerable , mi duda es porque no utilizo db y al guardas esos txt en el directoria quería saber si estaba,

vulnerable ah alguien que pudiera visualizarlos o descargarlos,

Gracias!