cómo encontrar el panel de control? (sin programas)

Iniciado por nort0n, 6 Diciembre 2010, 01:01 AM

0 Miembros y 1 Visitante están viendo este tema.

nort0n

cómo encuentro el panel de control de una página web??? manualmente...

www.site.com/admin_panel    ????   :o

cómo se llama los mecanismos de defensa para que nadie tenga acceso al panel de administrador????
¨
identificando las unicas IP que pueden tiener acceso? o algo así?


WHK

pues para esconder un panel de control hay gente que pone el nombre del directorio o el acceso donde nadie lo vea, para sistemas mas personalizados utilizan otro servidor web en otro puerto.

Yo para buscar manualmente lo que hago es ir testeando los directorios mas comunes como por ejemplo
/admin
/administrator
admin.php
?variable=admin

etc, cuando no se puede localizar se busca en los archivos fuente como hojas de estilo, a veces los programadores utilizan imagenes o rutas del directorio de administración po flojera, si eso no resulta comienza a entrar los bugs, path disclosure y esas cosas o sql inyección.

pero lo que la mayoria de los programas automatizados hacen es testear directorio por directorio de una laaaaarga lista.

winroot

Buenas!
Sobre la seguridad de paneles de administración, dentro de poco escribiré algo sobre el tema, mas que nada el uso por ejemplo de addons personalizados de firefox / scripts de gm.
La idea es por ejemplo, tenemos admin.php.
Al usuario que no tiene el script / addon, se le muestra:

<html>
<body>
</body>
</html>

El script lo que haría es, poner los forms y esas cosas utilizando javascript.
De este modo, se logra que el atacante solo le quede enviar peticiones post al admin.php, para poder deducir los nombres de las variables.
Si no hay entrada, nos evitamos que alguien encuentre sql injection, xss, etc, usando el formulario de el panel.
Para redondear,Las únicas personas que podrán ver el formulario y demás cosas, solo serán las que tengan el addon/script.

Saludos
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

seele

hola,
para ubicar un panel de control tienes que crearte un script que busque posibles directorios y archivos a partir de un diccionario, es la unica forma.
respecto a este tema se publicaron varios post ultimamente puedes buscar por el foro
en cuanto a la seguridad lo mejor es proteger el directorio directamente con apache, quizas se pueda usar algun que otro mecanismo pero combinarlo con apache es buena solucion

saludos

EvilGoblin

xDD cuando tengo q buscar el panel de administrador. Dejo de hacer lo q estaba haciendo..

osea.. pruebo 3 o 4 directorios comunes y me aburro.
Experimental Serial Lain [Linux User]

Shell Root

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

G0kuu_G0kuu

y si se encuentra en los robots.txt
como se hace para poder visualizarlo ??

.:Swik:.

Pues si al ver robots.txt aparece por ejemplo Disallow: /administrator/, pones www.sitio.com/administrator

berz3k

Por que tanto rollo con un crawler y listo, mmm algun otra tool Addons como FF etc. con ello encuentras mucha info sin necesidad de realizar algun scan.

-berz3k.