Ir para conteúdo
Faça parte da equipe! (2024) ×

web security Análise de requisição HTTP/HTTPS

mpdownsv2

Por ,
em Website

 Compartilhar

Posts Recomendados

Avançado

mpdownsv2 510

Postado
Denunciar
Postado (editado)

Bom (dia/tarde/noite) hoje vou mostrar um pouco sobre requisição post/get do (HTTP/HTTPS), os links estarão linkados no fim do post, esse conteúdo é um conteúdo premium !

 

Leitura recomendada: camada TCP/ip e tipos de requisição.

 

Vou agora explicar a poder que esse conhecimento pode te trazer: 

 

  • Obter dados para bruteforce a partir de wordlists
  • Analisar e corrigir os erros afim de se previnir a exploits
  • Verificar se há entradas para sql injection em seu site
  • Muitoo mais, bom espero que gostem !

 

Bom como trabalho com web, vou explicar sobre web, no caso iremos abordar 2 tipos de requisição GET e POST, diferenças entre ambos:

 

(GET) = Passa as informações via URL exemplo: meusite.com/index.php?id=1, a url passa a variavel id com o parâmetro 1, a fim de obter algo.

(POST)= Essa requisição é invisível a olho nú, entretanto iremos utilizar um software de análise chamado FIDDLER.

 

Em resumo você irá enviar campos com dados para uma outra página ou a mesma processar e te retornar um resultado, mas o que nos interessa aqui é o processo de análise para 

descobrir se o que fizemos está correto ou pode ser melhorado, os sites para privates tem uma mania horrível de exibir sua tokens de autenticação, iremos explorar essa falha pra obter dados de um site exemplo que irá servir para seu servidor.

 

PS: Entendam que isso é essencial se você quer permanecer no mercado, tem que entender que estará à mercê dos hackers e curiosos.

 

image.thumb.png.910d18a8aec71c95f8bfecfdb9666606.png

 

Agora analisamos e vemos que não temos token e nem captcha para autenticação logo podemos testar uma wordlist inteira com bruteforce, mas antes vamos utilizar a ferramenta "composer" do Fiddler para testar um pouco mais. Aqui abaixo nos incluimos todos os headers com os cookies e um body com requisição post no protocolo HTTP 1.1

image.thumb.png.e5c41683a6da6be76bfa7495b59d8f9d.png

 

Com alguns minutos conseguimos programar uma api para esse site e obter muitos resultados.

 

 

Com tudo isso agora, você já analisou se sua requisição é segura ? utilizar token ? que tipo ? 

 

Obrigado por tudo, isso é tudo por agora.

 

Créditos: EU

 

* Por favor comentem suas dúvidas, obrigado.

 

 

 

Veja mais sobre o fiddler

 

 

Editado por mpdownsv2
  • Curtir 2

18+ Best Shopify CSS Dividers Themes Free & Premium 2022 – AVADA Commerce Blog

 

👉 Colaborador de foruns desde 2015 e Membro Colaborador WC desde 2018

👉 Precisa de ajuda ? Chame no privado

👉 Hospedagem com proteção antiddos, WAF e implementação de infraestrutura

👉 Dev Java / Entusiasta PHP  e PLSQL

👉 Experiência com diversos jogos como WYD, WOW, MU, Scalet Blade, Talisman Online, Tantra Online, entre outros..

 

 

 

ᅠᅠTroféus e Medalhasᅠᅠ
Link para o comentário
Compartilhar em outros sites

Participe da Conversa

Você pode postar agora e se cadastrar mais tarde. Cadastre-se Agora para publicar com Sua Conta.
Observação: sua postagem exigirá aprovação do moderador antes de ficar visível.

Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emoticons são permitidos.

×   Seu link foi incorporado automaticamente.   Exibir como um link em vez disso

×   Seu conteúdo anterior foi restaurado.   Limpar Editor

×   Você não pode colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos
×
×
  • Criar Novo...

Informação Importante

Nós fazemos uso de cookies no seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies , caso contrário, vamos supor que você está bem para continuar.

 Accept Cookies  Reject Cookies