Duda sobre posibles vías de ataque a unas votaciones

Iniciado por Alef2, 12 Agosto 2014, 00:38 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Alef2

12 Agosto 2014, 00:38 AM
Buenas!
Antes que nada aclarar que soy un total newbie y que a parte de conocimientos básicos de php, javascript, html, etc, no se nada de vulnerar la seguridad de páginas web/bases de datos.
No se si esta pregunta va en el apartado correcto, pero al ser una duda supongo que si.
La cuestión es que me gustaría poder alterar los votos de un concurso. Son votos online, y para poder votar debes registrarte en dicha web. Además, después de probar varias cosas, he podido descubrir que también te bloquean la ip cuando ya has votado, y aunque uses cuentas distintas no te dejan volver a votar.
Mirando el código fuente de la página he encontrado la parte del código que vota (una petición de ajax, del cual se mas bien nada), y probé a ejecutarla modificando los datos y borrando las funciones que comprobaban si estabas registrado o si ya habías votado ese día desde esa ip, pero no sumaba los votos. Por lo tanto creo que vuelve a hacer comprobaciones en el servidor.
Ya sin esperanzas me he puesto a buscar y he encontrado cosas como el sqli, pero en este caso que os comento... creéis que se puede hacer algo para "agregar" votos a saco?
Hasta hoy pensaba que no, pero uno de los concursantes ha duplicado sus votos en escasos minutos, por lo que debe haber hecho algo de esto.
Sólo pregunto ya que no puedo ponerme a aprender TODO de seguridad en la red y me gustaría saber que método podría funcionar para aprender de eso directamente.

Muchas gracias y disculpad las molestias.

engel lex

#1
12 Agosto 2014, 01:18 AM
el el foro prohíbe los temas no éticos  o ilegales...
no responderé a la pregunta sino que daré información general...

no importa que cambies en jscript todo el mundo sabe que es alterable y por eso la seguridad es en el servidor, eso es algo normal...

si verifican ip, cuenta de registro y demás es probable que no tengan una seguridad tan débil como para ir a ciegas con una inyección sql...

la otra persona puede que en lugar de el hace 1000 votos, haya usado una red zombie para hacer 1000 registros desde 1000 ordenadores en 1000 lugares diferentes y votar 1000 veces... pero eso obviamente requiere buen conocimiento
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

simorg

#2
12 Agosto 2014, 01:26 AM
Citarel el foro prohíbe los temas no éticos  o ilegales...



Tema cerrado.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario