Full Source Disclosure.


0x01. Introducción

No DDLR e alguns leram meu tutorial sobre "Full Path Disclosure", bem, agora vou falar um pouco de outra vulnerabilidade chamado de" Full Source Disclosure" foi um tanto controversa em #DDLR, graças ao vídeo muito bom do 0o_zeus_o0 verdade e do posto de gothic-x também excelente.
Esta vulnerabilidade tinha lido um pouco antes, mas hey, eu vou fazer um tuto, já que muitos estavam interessados neste tópico.

0x02. O que é Full Source Disclosure ou FSD?

Esta vulnerabilidade é muito leve, uma vez que ainda estavam no vermelho, e cuida de baixar algum arquivo no servidor sem estar conectado ou tiver permissão, e com isso podemos ver o código fonte (SOURCE) para obter essa informação muito, mas não é o mesmo que dar index.php "View Source" em seu navegador, que vê nesta vulnerabilidade, como mostra o código original a partir do servidor.

Esta vulnerabilidade é devido a má programação especial de variáveis internas para fazer o download de um arquivo, permite que você baixe qualquer arquivo do servidor sem estar registrado ou ter permissões, como eu disse acima.

Graças a DORK criado por gothic-x pode encontrar muitos sites vulneráveis e também encontraram uma para explicar neste tutorial.

0x03. Prática

O site que você vai usar um exemplo seria o seguinte: "http://www.favaloro.edu.ar", uma universidade Argentina.

Primeiro eu passo para baixar o índice "para ver a diferença entre "Source Disclosure"e "View Source Browser"

FULL SOURCE DISCLOSURE:

Nós temos o servidor que baixar o índice principal é:

Eu fiz o download e abri-lo com o nosso editor:



VIEW SOURCE:

Apenas usuários registrados e ativados podem ver os links.,

Ilegalintrusion - #DDLR - #RE - GH

Autor: Zero Bits
Fecha: 15/11/09
TeaM: Ro0T-MaFia

Miembros: JxE-13 | 0x0c | Soad | CyberNaj | KX-T33 | DrKSnix | Zero Bits | D4NB4R.