ENTRAR EN EL FOROHACK ANTIGUO (Muchos temas viejos y de menor nivel)
13:37:24 17/10/2019
¿No estas registrado?
Login: Clave:
2 Usuarios en línea: 0 registrados, 2 invitados.
Conéctate y verás los usuarios en línea
Tema: Documentacion sobre F.P.D. - N.S.C. - I.D.
    Responder
Todos Los Foros -> Defacing -> Tutoriales -> Documentacion sobre F.P.D. - N.S.C. - I.D.
Autor Mensaje (Ver Versión para Imprimir)
s3cure
Usuario Enfermo
Arreglando las imágenes

Mensajes: 69
Registrad@:
07/01/2010
Estado: Desconectad@
Documentacion sobre F.P.D. - N.S.C. - I.D.

#Echo por m0x.lk & InyeXion

FPD:
Full Path Disclosure: Divulgacion de ruta completa:
Vulnerabilidad que permite ver la ruta del script en el que estas desde la raiz.
Ejemplo: /home/htdocs/pepito/www/archivo.php.
Esta informacion la podriamos usar por ejemplo para el uso de la funcion load_file() si habria SQL inyeccion en la web.

      * * Vaciar Array


Si tenemos un sitio que utiliza un método de pedir una página como la siguiente:

www.victima.com/pagina/index.php?page=trabajo

Podemos usar el metodo de probocar un array asi:

www.victima.com/pagina/index.php?page[>=trabajo

los [> producen arrays en PHP, como la variable no tiene array producerá un error en la web.

Producimos sierta falla que imprime este resultado:

Warning: opendir(Array): failed to open dir: No such file or directory in /home/omg/htdocs/index.php on line 84
Warning: pg_num_rows(): supplied argument ... in /usr/home/example/html/pie/index.php on line 131


      * * N.S.C:


Null Session Cookie: Sesion nula de cookies.

Otro muy popular y fiable método de producir los errores que contiene una FPD es dar a la página de un período de sesiones nulled utilizando Javascript Inyecciones. Una simple inyección con este método sería algo como lo siguiente:

javascript:void(document.cookie="PHPSESSID=");

Simplemente el establecimiento de la PHPSESSID cookie para nada (null) nos aparecerá un mensaje de error.

Warning: session_start() [function.session-start>: The session id contains illegal characters,
valid characters are a-z, A-Z, 0-9 and '-,' in /home/example/public_html/includes/functions.php on line 2


      * * Posible Solucion:


Una posible solucion es poner la funcion error_reporting() en off, simplemente ponemos:

error_reporting(0);

Asi no se mostraran los errores por pantalla

      * * I.D


Information disclosure: Divulgación de informacion.

Brevemente significa informacion sensible a la vista del publico.

Ejemplo:

Utilizamos un rato google y hacemos esta busqueda:

intext:mysql_connect filetype:inc

El resultado seran paginas en la cual veremos informacion sensible como puede ser la coneccion con la base de datos, tablas,columnas etc..


End.

# InyeXion and m0x.lk


saludos.

NOta: m0x.lk = s3cure :P


Creer que todo es genial para luego ver realidad.
09/01/2010 03:11:50 


REGÍSTRATE PARA PODER ENVIAR UN MENSAJE (tardas 20 segundos)

Copyright ForoHack.com