Blog de Xianur0

Esto es solo un texto de introducci�n, para mas informaci�n leer sobre protocolo HTTP.

Le puse este titulo a la web, por que en este texto voy a explicar un poco de hackeo mediante M�todos HTTP y HTTP Headers.

Pocos texto se encuentran en la red sobre hackeo por m�todos HTTP, as� que muchos como yo tuvimos que aprender por las malas jaja, bueno comencemos:

Que es un Metodo HTTP?

Un Metodo HTTP es una forma u orden HTTP que es enviada a un servidor web para que dicho servidor maneje dicha informaci�n de dicha forma.

Ejemplo:

En este caso estamos usando el m�todo GET, dicho m�todo sirve para obtener una pagina especifica.

Que es un Header?
Un Header es una especie de variable que contiene cierta informaci�n, como el header cookie, que contiene la cookie para el host actual.

Ejemplo:

En este caso hay 2 headers, el header Host, que le dice al servidor que web solicitamos (esto se usa en servers compartidos o dominios y subdominios) y el header cookie que contiene una cookie de nombre cookie y valor alguna_cookie (que ironia xD).

Que M�todos HTTP Existen?

Existen muchos m�todos HTTP como para listar todos, pero listare los mas usados y su uso:

GET: Solicita una pagina.
HEAD: Esto Devuelve solo los headers de la pagina solicitada.
OPTIONS: Solicita las opciones permitidas por el server web.
POST: Remite una informaci�n (como en un login).
TRACE: Es una especie de eco, es decir lo que env�es te contesta.
PUT: Guarda en su �rbol web el archivo o registro enviado.
CONNECT: Este M�todo crea una conexi�n con el servidor especificado, esto es �til para hacer tunnelings.
DELETE: Borra un Registro o Archivo especificado.

Vamos uno por uno con ejemplos:

Enviamos un Options, y nos devolvi� los m�todos:


Me dir�n y esto de que nos sirve?
Simple:

El metodo TRACE, a realizar un eco, podemos utilizarlo para hacer un XSS, y por enden un Cookie Spoofing, al mismo tiempo esto puede ser usado para Saltar la protecci�n HTTPOnly de las cookies, y aparte de esto, las protecciones de Consumo de Banda quedan b�sicamente in�tiles, ya que casi ninguna filtra el m�todo TRACE, por ello la banda no se cuenta y se puede utilizar para floodear al servidor.

TRACE / HTTP/1.0
Host: cursohacker.com
XSS: <script>alert('UxMal Was Here')</script>


Como ver�n hasta los de cursohacker.com tienen problemas con esto jejeje, Bueno Vamos por mas:


Permite:

Vamos a Probar DELETE:
P�rese que tiene un ligero filtro, como lo saltamos?, simple, creamos un header WWW-authenticate, com�nmente los servidores no tienen un password seteado para esto o casi siempre el usuario y/o password es el dominio.

Un PUT:
El Header PUT, como ya dije sirve para crear un archivo o registro en el �rbol web del server.

Por ello sirve como upload:


CONNECT:


De esta Forma nos conectar�amos a la ip 192.168.1.1 (ip privada) dentro de la red del servidor web y solicitamos /, Lo De mas Queda a la imaginaci�n...

Esto es solo un texto de introducci�n, para mas informaci�n leer sobre protocolo HTTP.

Nota: estos m�todos son un poco viejos, pero como demostr� aun sirve jejeje.