Curso de No-Code Hacking

Jul 15, 2024

Curso de No-Code Hacking

Introducción

  • Objetivo: Dominar el hacking de URL, filtraciones de datos, y otras técnicas sin necesidad de saber programar.
  • Importante: Todo el contenido es solo para propósitos educativos.
  • Procedimiento: Analizar y manipular URLs para entender la organización de sitios web y acceder a información.

Fundamentos del Hacking con URLs

  • Ejemplo Zelda NES: Usar URLs como mapas escondidos.
  • Caso Práctico: Obtener imágenes en alta resolución en un sitio web de suscripción
    • Identificar patrón en URLs de miniaturas.
    • Manipular URL para acceder a imágenes completas.
    • Aplicar operaciones aritméticas a IDs en URLs para enumerar otros recursos.

Vulnerabilidades Comunes

  • Protección Basada en Suposiciones: Explotar sistemas que solo protegen con supuestos de comportamiento del usuario.
  • Ejemplo del Examen Escolar: Encontrar respuestas manipulando URLs.
  • Ejemplo del Inbox: Acceder a correos eliminados manipulando IDs en URLs.

Fugas de Información Indirectas (Side Channels)

  • Principio: Diferenciar comportamientos entre recursos existentes/inexistentes revela información.
  • Ejemplo Proyecto Secreto: Confirmar existencia de recursos mediante códigos de estado HTTP (403 vs 404).
  • Ejemplo de Salud: Determinar diagnósticos de salud basado en respuestas HTTP.

Negociación Digital (Manipulación de Formularios)

  • Fundamento: Formularios envían datos a URLs mediante métodos GET o POST.
  • Ejemplo de Cambio de Salario: Modificar inputs para cambiar valores enviados al servidor.
  • Métodos HTTP Adicionales: PUT, PATCH y DELETE.

Intercepción con Burp Suite

  • Instalación y Configuración: Usar la versión Community de Burp Suite.
  • Intercepción de Pedidos: Cambiar datos antes de que lleguen al servidor.
    • Ejemplo de Inspección: Analizar y modificar parámetros de un formulario.
    • Burp Repeater: Repetir y modificar solicitudes rápidamente.

Análisis de Pedidos en Segundo Plano

  • Importancia: Identificar datos sensibles enviados en segundo plano mediante JavaScript.
  • Ejemplo del Perfil de Usuario: Descubrir datos privados no visibles en la interfaz principal.

Desafíos y Aplicaciones Prácticas

  • Infinite Discount Challenge: Modificar el valor de un producto a $0 interceptando y cambiando peticiones POST.
  • Content Creeper Challenge: Acceder a contenido privado utilizando headers y tokens de autorización.

Conclusión

  • Habilidades Adquiridas: Manipulación de URLs, entender la organización de sitios web, explotación de side channels, manejo de formularios y uso básico de Burp Suite.
  • Propósito Educativo: Uso seguro y ético de las técnicas aprendidas.

Asegúrate de dar like y suscribirte al canal para más contenido educativo y, si deseas, considera donar mediante el enlace en la descripción.