Fuga de información en el código HTML de páginas web
Cuando se realizan pruebas de seguridad y penetración a páginas web o aplicaciones web, lo primero que se recomiendo hacer es analizar el código HTML. Esto se debe a que podemos encontrar información muy interesante (jugosa) que nos puede ayudar a encontrar fallos, comprender el cómo esta desarrollada la aplicación o página web, sin embargo, también tenemos algo muy curiosos, los comentarios de los desarrolladores que pueden dejar olvidados.
Cada que tengamos una aplicación web, o página web, de las primeras cosas que debemos hacer es inspeccionar el código HTML, pero ¿Para qué?
Cuando inspeccionamos el código HTML podemos encontrar información como:
- Archivos
- Comentarios del desarrollador
- URL interesantes
Tenemos un pequeño código PHP, cuando una aplicación web necesita conectarse con una base de datos MySQL requiere de un conjunto de parámetros para poder establecer la conexión como lo son el nombre del host, el nombre de la base de datos el usuario y contraseña. En el caso de nuestro código, tenemos un archivo que realiza una llamada
mysql_connect / mysql_pconnect que incluye las credenciales de conexión MySQL.
Lo que puede ser interesante, es el archivo "bokajnr.inc", lo que podemos hacer es lo siguiente www.sitio.com/bokajnr.inc y veamos qué pasa.
Podemos descárgalo o abrirlo, en mi caso lo abrí con Sublime Text un editor de textos muy bueno (lo recomiendo).
¿Pero que sorpresa... no?
 |
| Nivel 1 de HackThisSite |
Analizar el código HTML, es un punto clave e importante al momento de realizar pruebas de seguridad o penetración, puede que encontremos algo que un desarrollador dejara olvidado como lo pueden ser notas al momento de desarrollar la página o aplicación web, direcciones a archivos, incluso podemos dar con el Índex.
0 Comentarios