Cómo utilizar editores hexadecimales para identificar las vulnerabilidades de piratería

Video: Especial 160 Subs: Usar editores hexadecimales en los videojuegos

Muy a menudo como parte de hacking ético, se debe utilizar un editor hexadecimal para ver cómo una aplicación es el almacenamiento de información sensible, como contraseñas, en la memoria. Cuando se utiliza Firefox e Internet Explorer, puede utilizar un editor hexadecimal, tales como WinHex, para buscar en la memoria activa en estos programas y con frecuencia se encuentran ID de usuario y combinaciones de contraseñas.

Video: Esteganografia - Editor Hexadecimal

Con Internet Explorer esta información se guarda en la memoria incluso después de navegar a varios otros sitios web o finalizar la sesión en la aplicación. Esta característica el uso de memoria representa un riesgo para la seguridad en el sistema local si otro usuario tiene acceso a la computadora o si el sistema está infectado con malware que puede buscar en la memoria del sistema para obtener información sensible.

La información sensible tienda manera navegadores en la memoria es también una mala noticia si se produce un error de aplicación o volcado de memoria del sistema y el usuario termina de enviar la información a Microsoft (u otro proveedor navegador) para fines de control de calidad. Es también una mala noticia si la información se escribe en un archivo de volcado en el disco duro local y se sienta allí para alguien de encontrar.

Intenta buscar información sensible almacenada en la memoria relacionada con su aplicación (s) web o en programas independientes que requieren autenticación. Usted sólo puede ser sorprendido por el resultado. Fuera de la ofuscación o codificar los datos de acceso, por desgracia, no hay una gran solución porque esta “característica” es parte del navegador web que los desarrolladores no pueden controlar realmente.

Una característica de seguridad similar ocurre en el lado del cliente cuando HTTP OBTENER solicitudes en lugar de HTTP ENVIAR solicitudes se utilizan para procesar información sensible. El siguiente es un ejemplo de un vulnerable OBTENER solicitud:

https://your_web_app.com/access.php?username=kbeaver&password = WhAteVur!&login = pronto

OBTENER solicitudes a menudo se almacenan en el archivo historial del navegador web del usuario, los archivos de registro del servidor web y archivos de registro de proxy. OBTENER las solicitudes pueden ser transmitidos a sitios de terceros a través del campo de referencia HTTP cuando el usuario navega a un sitio de terceros. Todo lo anterior puede dar lugar a la exposición de las credenciales de inicio de sesión y el acceso no autorizado de aplicaciones web.

Video: Tutorial cambiar nombres con el Editor Hexadecimal - Tuto change players names with Hex Editor

La lección: No utilice HTTP OBTENER peticiones. En todo caso, tenga en cuenta estas vulnerabilidades a ser una buena razón para cifrar los discos duros de los ordenadores portátiles y otros equipos que no son físicamente seguro.

Artículos Relacionados
Organizaciones de la contratación de profesionales infosec
Las amenazas a los programas de software que usted debe saber para un trabajo en seguridad de la información
Resumen de los tipos de cuentas para clientes portátiles servidor león
Cómo hacer que windows xp programas se ejecutan más rápido
Términos que debe saber al limpiar windows xp
Añadir ram a su ordenador portátil para evitar el intercambio de disco de memoria virtual
Información técnica y cosas de mi pc
¿Cómo aumentar el volumen de paginación en windows vista
3 Maneras de añadir almacenamiento portátil a su superficie
Forma de guardar y recordar sus contraseñas
Vulnerabilidades de seguridad basadas en servidor
Sea consciente de las vulnerabilidades de contraseñas para evitar ser atacado
Los problemas de seguridad causados ​​por la información sensible que se almacenan localmente
Hacks de desbordamiento de búfer en aplicaciones web
Hacks cross-site scripting en aplicaciones web
Exploraciones autenticados ejecutados en los sistemas de ventanas
Asegurar los archivos .rhosts y hosts.equiv para evitar cortes de linux
Sin garantía de acceso hacks en aplicaciones web y cómo prevenirlos
Acceder a internet con el dispositivo ios
Memoria de la balanza y la duración de la batería en ios 6 de desarrollo de aplicaciones