Manipulación Campo oculto hacks en aplicaciones web
Algunos sitios web y aplicaciones incrustar campos ocultos dentro de las páginas web de hackear y pasar información de estado entre el servidor web y el navegador. Campos ocultos se representan en un formulario web como .
Debido a prácticas de codificación pobres, campos ocultos a menudo contienen información confidencial (como el precio de los productos en un sitio de comercio electrónico) que debe ser almacenada sólo en una base de datos back-end. Los usuarios no deben ver los campos ocultos - de ahí el nombre - pero la curiosa atacante puede descubrir y explotar con estos pasos:
Ver el código fuente HTML.
Para ver el código fuente en Internet Explorer, elija Página-View Source. En Firefox, seleccione Ver-fuente de la página.
Cambiar la información almacenada en estos campos.
Por ejemplo, un usuario malintencionado podría cambiar el precio de $ 100 a $ 10.
Repost la página de nuevo al servidor.
Este paso permite al atacante obtener ganancias mal habidas, como un precio más bajo en una compra web.
El uso de campos ocultos de autenticación (login) mecanismos puede ser especialmente peligroso. Usted podría venir a través de un proceso de bloqueo de intrusos autenticación de múltiples factores que se basa en un campo oculto para realizar un seguimiento del número de veces que el usuario ha intentado iniciar sesión. Esta variable podría ser a cero para cada intento de acceso y facilitar así un diccionario o con guión de fuerza bruta ataque de inicio de sesión.
Varias herramientas, tales como Web Proxy (que viene con WebInspect) o Paros Proxy, pueden manipular fácilmente campos ocultos.
Si te encuentras con campos ocultos, se puede tratar de manipularlos para ver qué se puede hacer. Es tan simple como eso.
-
Hacks desbordamiento de búfer en las aplicaciones web -
Hacks inyección de código y de inyección SQL en aplicaciones web -
Proceso de autenticación web de Cisco wireless lan -
El diseño de una base de datos relacional en el acceso 2013 - Cómo modificar y campos de pivote en una tabla dinámica de Excel 2010
- Cómo modificar campos de tabla dinámica en Excel 2013
Agregue su columna de sitio a la página de diseño de SharePoint 2010 Después de haber agregado su columna de sitio para el tipo de contenido en SharePoint 2010, hay que añadir la columna de sitio para el diseño de página. Así es cómo:Abra su diseño de página en el modo de edición en SharePoint Designer…
Las decisiones de diseño de página para hacer en SharePoint 2010 Dependiendo de la complejidad del sitio, puede que tenga que considerar la posibilidad de un tipo de contenido y / o columnas de sitio adicionales nueva para sus diseños de página en SharePoint 2010. Si usted quiere que sus páginas para tener…
Cómo diseñar una base de datos relacional en el acceso 2010 Cuando se utiliza un programa de base de datos como Access 2010, no se puede simplemente comenzar a introducir los datos. En lugar de ello, es necesario crear un diseño de base de datos relacional, dividiendo su información en una o varias tablas,…
Cómo utilizar los campos de contraseña y campos ocultos en el formulario de html5 LA campo de contraseña es un campo de texto especial en un formulario web que no muestra lo que el usuario escribe. Cada pulsación de tecla se representa en la pantalla por un carácter de marcador de posición, como un asterisco o una bala, por…
Cómo validar elementos de formulario HTML en javascript La validación es una parte importante del trabajo con formularios HTML. Por desgracia, no todos los navegadores proporciona soporte para las características de validación de HTML5. El ejemplo que encuentres aquí no va a funcionar con Internet…
Cómo usar PHP para crear una forma html5 con elementos complejos Para un ejemplo del uso de PHP para crear formularios HTML5 más complejas, mirar por encima de monty.html. Este programa es un homenaje a una de las mejores películas de todos los tiempos. (Es posible que sólo tenga que alquilar esta película si…
Sesiones de PHP y cookies Sin duda, usted ha visto los sitios web que utilizan cookies para rastrear quién es usted, posiblemente, dar la bienvenida a usted después de que se conecte o se presenta con información personalizada acerca de su cuenta después de iniciar…
¿Cómo lidiar con el texto oculto o enlaces en una página web Cuando el texto o hipervínculos en una página Web son invisibles para los usuarios, pero pueden ser leídos por un motor de búsqueda, eso es considerado spam. Tener texto o enlaces ocultos es una manera fácil de conseguir prohibido de los…
Cómo conectar los campos de CRM por defecto a las herramientas de automatización de marketing Campos predeterminados generalmente son campos estándar comunes a toda la gestión de relaciones con clientes (CRM) y herramientas de automatización de marketing. Ellos contienen información básica del cliente. Ejemplos incluyenNombre de…
Fijación de los campos en acto! 2.007 prima para grupos de trabajo ACT! 2007 premium para trabajo en grupo viene con una gran característica - la seguridad sobre el terreno. Eso significa que un administrador o gerente puede determinar qué campos usuarios podrán ver - y cuáles no lo harán. Estos son los tres…
Creación de mini diseños de página para la consola de Service Cloud fuerza de ventas La Consola de Service Cloud de Salesforce es una interfaz personalizable que permite a los agentes para ver múltiples componentes en una sola pantalla. Como administrador, puede configurar la consola para mostrar un diseño de mini página que…
Cómo agregar campos de bases de datos y los campos de texto en Timeslips salvia La mayoría de los clientes quieren que su razón social, dirección y número de teléfono para que aparezcan en la parte superior de la factura de Sage Timeslips. Para agregar el número de teléfono firme al proyecto de ley de Cabecera - Sección…