Manipulación Campo oculto hacks en aplicaciones web

Algunos sitios web y aplicaciones incrustar campos ocultos dentro de las páginas web de hackear y pasar información de estado entre el servidor web y el navegador. Campos ocultos se representan en un formulario web como .

Debido a prácticas de codificación pobres, campos ocultos a menudo contienen información confidencial (como el precio de los productos en un sitio de comercio electrónico) que debe ser almacenada sólo en una base de datos back-end. Los usuarios no deben ver los campos ocultos - de ahí el nombre - pero la curiosa atacante puede descubrir y explotar con estos pasos:

  1. Ver el código fuente HTML.

    Para ver el código fuente en Internet Explorer, elija Página-View Source. En Firefox, seleccione Ver-fuente de la página.

  2. Cambiar la información almacenada en estos campos.

    Por ejemplo, un usuario malintencionado podría cambiar el precio de $ 100 a $ 10.

  3. Repost la página de nuevo al servidor.

    Este paso permite al atacante obtener ganancias mal habidas, como un precio más bajo en una compra web.

El uso de campos ocultos de autenticación (login) mecanismos puede ser especialmente peligroso. Usted podría venir a través de un proceso de bloqueo de intrusos autenticación de múltiples factores que se basa en un campo oculto para realizar un seguimiento del número de veces que el usuario ha intentado iniciar sesión. Esta variable podría ser a cero para cada intento de acceso y facilitar así un diccionario o con guión de fuerza bruta ataque de inicio de sesión.

Varias herramientas, tales como Web Proxy (que viene con WebInspect) o Paros Proxy, pueden manipular fácilmente campos ocultos.

imagen0.jpg

Si te encuentras con campos ocultos, se puede tratar de manipularlos para ver qué se puede hacer. Es tan simple como eso.




» » » » Manipulación Campo oculto hacks en aplicaciones web