Ocultos hacks de manipulação de campo em aplicações web

Alguns sites e aplicações incorporar campos ocultos dentro de páginas da web para cortar e passar informações de estado entre o servidor web eo navegador. Campos ocultos são representados em um formulário web como.

Conteúdo

Video: hacking a website with metasploit
Video: google hacking - hidden google tricks

Video: Hacking a Website with Metasploit

Por causa de práticas de codificação pobres, campos ocultos muitas vezes contêm informações confidenciais (como os preços dos produtos em um site de e-commerce), que devem ser armazenados apenas em um banco de dados back-end. Os usuários não devem ver campos ocultos - daí o nome -, mas o atacante curioso pode descobrir e explorar-los com estes passos:

Ver o código-fonte HTML.
Para ver o código fonte no Internet Explorer, escolha Página → View Source. No Firefox, escolha Exibir → fonte da página.
Alterar as informações armazenadas nestes domínios.
Por exemplo, um usuário malicioso pode alterar o preço de $ 100 a $ 10.
Repassar a página de volta para o servidor.
Esta etapa permite que o invasor para obter ganhos ilícitos, tais como um preço mais baixo em uma compra web.

Usando campos ocultos por mecanismos (login) de autenticação pode ser especialmente perigoso. Você pode se deparar com um processo de bloqueio contra invasores autenticação multifatores que se baseia em um campo oculto para rastrear o número de vezes que o usuário tentou efetuar login. Essa variável pode ser reposto a zero para cada tentativa de login e assim facilitar um dicionário script ou brute-force ataque de login.

Várias ferramentas, tais como web proxy (que vem com WebInspect) ou Paros Proxy, pode facilmente manipular campos ocultos.

Video: Google Hacking - Hidden Google Tricks

Se você se deparar com campos ocultos, você pode tentar manipulá-los para ver o que pode ser feito. É simples assim.