El panel superior en el Editor HTTP es donde puede editar los datos y encabezados de
solicitud HTTP. El panel inferior muestra los encabezados de respuesta HTTP y los
datos recibidos del servidor.
Para crear una solicitud HTTP con datos de solicitud, por ejemplo, para usar en una
solicitud POST, ingrese los datos directamente en la ventana 'Solicitar datos'.
Alternativamente, si el cuerpo de solicitud HTTP que desea enviar está codificado en la
URL (por lo tanto, el cuerpo de la solicitud no es JSON o XML), puede usar
el botón Editar variables de solicitud para editar variables GET o POST (por lo tanto,
cualquier variable en el Cadena de consulta de URL, o dentro del cuerpo de respuesta
HTTP).
Esto lanzará el Editor de Variables. Las variables de consulta están separadas de la URL
por a ?y están codificadas por URL. El editor de variables se puede usar para editar
variables de consulta, cookies y otros datos de solicitud. Puede agregar, eliminar,
codificar URL y variables de decodificación de URL usando la barra de herramientas en
la parte inferior de la ventana del Editor de Variables. Haga clic en Aceptar para
almacenar los cambios y cerrar el Editor de variables.
Por supuesto, no está limitado a los datos codificados por URL. Si desea realizar una
solicitud HTTP con un cuerpo JSON o XML, puede usar el formato de datos que
necesita ingresándolo directamente en Request Data .
Especifique la longitud del contenido y el tipo de contenido a través de
los encabezados Content-Lengthy apropiados Content-Type. En el caso de que no se
especifique una longitud o tipo de contenido, el Editor HTTP lo usará application/x-
www-form-urlencodedcomo el tipo de contenido predeterminado y calculará
automáticamente la longitud del contenido.
El Editor HTTP también ofrece una herramienta Encoder incorporada que le permite
codificar y decodificar cualquier información de texto sin formato que desee enviar en
una solicitud HTTP o que haya sido devuelta en una respuesta HTTP.
HTTP Editor Encoder Tool es compatible con los siguientes formatos de codificación o
hash.
El panel superior del Subdomain Scanner es donde verá los resultados del
análisis de subdominios. El panel inferior muestra los encabezados de respuesta
HTTP y los datos recibidos del servidor.
Escanear un dominio
Puede usar el servidor DNS del objetivo para resolver consultas DNS
(predeterminado) o, alternativamente, puede especificar un servidor DNS de su
elección para resolver consultas DNS.
También puede elegir alterar el tiempo de espera predeterminado (10 segundos
de forma predeterminada). Aumentar el valor de tiempo de espera puede ser
útil si las solicitudes de DNS se agotan. Haga clic en el botón Inicio para
comenzar el escaneo de subdominios.
Analizando resultados
Los servidores web descubiertos se muestran tan pronto como se descubren en
el panel inferior. La dirección IP del servidor y el banner del servidor web
también se recuperan.
Puede hacer clic con el botón derecho en el servidor web descubierto para
enviar solicitudes personalizadas usando el Editor HTTP, así como también
exportar la lista de servidores web descubiertos como un archivo CSV.
Configurando su navegador
Para comenzar a capturar tráfico, primero debe configurar su navegador (o
cualquier otro cliente HTTP) para usar Acunetix HTTP Sniffer como servidor
proxy.
Configure su navegador web de preferencia para proxy todo el tráfico a través
del Acunetix HTTP Sniffer. Suponiendo que el navegador web se está
ejecutando en la misma máquina donde está instalado Acunetix HTTP Sniffer,
configure la IP del servidor proxy en 127.0.0.1 y el puerto del servidor proxy
en 8080 .
Haga clic en una solicitud o respuesta para ver los detalles completos. Todas las
solicitudes / respuestas se mostrarán en el panel inferior.
Cuando finalice la navegación, haga clic en el botón Parar .
Propina : tenga en cuenta que cuando se detiene el Sniffer HTTP, el navegador
web perderá su conexión.
A continuación, puede guardar los registros del Sniffer HTTP usando el botón
Guardar en la barra de herramientas para verlos posteriormente, y también
puede usar el archivo resultante para preiniciar un análisis Acunetix.
Usando trampas
Acunetix HTTP Sniffer también se puede configurar para interceptar una
solicitud HTTP para que se manipule en tiempo real antes de que llegue al
servidor.
Todo
Solicitud
Respuesta
Solicitar encabezados
Solicitar cuerpo
Encabezados de respuesta
Cuerpo de respuesta
Usando Generadores
Para comenzar a enviar solicitudes, debe comenzar con una solicitud HTTP que
ya tenga (puede desear utilizar el Sniffer HTTP para capturar solicitudes que
luego puede usar HTTP Fuzzer). Luego necesita identificar una o más partes de
la solicitud HTTP que se cambiarán cada vez que HTTP Fuzzer envíe una
solicitud.
Puede especificar estas partes de la solicitud utilizando generadores . Un
generador es una regla que genera algunos datos aleatorios, secuenciales o de
patrones que se insertan en la solicitud HTTP. Puede tener múltiples
generadores en una sola solicitud HTTP.
Los generadores están listados en el panel lateral derecho. Puede crear un
generador haciendo clic en Agregar generador . A continuación, puede insertar
el generador que creó en la solicitud arrastrándolo y soltándolo en la solicitud, o
haciendo clic en el botón Insertar en la solicitud .
Los siguientes son los generadores que se pueden usar en el HTTP Fuzzer.
Respuesta
Encabezados de respuesta
Cuerpo de respuesta
Código de estado de respuesta
El panel superior del Inyector de SQL oculto es donde puede ingresar una
solicitud HTTP que usted sabe que es vulnerable a la Inyección de SQL a
ciegas. El panel inferior muestra los datos enumerados extraídos de la base de
datos a través del ataque de inyección SQL ciego.
Nota : una vez que se hace clic en 'Extraer', si la extracción del archivo es
exitosa se le pedirá que especifique una ubicación y un nombre de archivo
donde guardar el archivo extraído.
Nota : una vez que se hace clic en 'Extraer', si la extracción del archivo es
exitosa se le pedirá que especifique una ubicación y un nombre de archivo
donde guardar el archivo extraído.
Configuracion avanzada
El Inyector SQL Ciego se puede configurar con una configuración avanzada
adicional desde la pestaña Configuración .
En la pantalla de Parse Web Forms from URL , la aplicación mostrará todos los
campos disponibles contenidos en la página de destino. Indique el campo de
formulario que representa el nombre de usuario, haciendo clic en el campo y
haciendo clic en el botón Nombre de usuario . También debe indicar el campo
de formulario que representa la Contraseña haciendo clic en el campo y
haciendo clic en el botón Contraseña en la parte inferior de la ventana.
El autenticador debe ser instruido acerca de qué constituye una página de inicio
de sesión fallida para que se dé cuenta del comportamiento apropiado al inicio
de sesión exitoso.
Con un navegador web, intente iniciar sesión en la página para generar un
error de inicio de sesión y anote el texto que indica un error de inicio de
sesión. Ajuste de inicio de sesión ha fallado si al resultado contiene y copiar el
texto que indica un fallo de inicio de sesión en el cuadro de texto de entrada.
Las expresiones regulares también se pueden especificar al elegir Resultado
coincide con la expresión regular . Haga clic en el botón Inicio para iniciar el
ataque de diccionario contra el formulario web.
Acunetix es un escáner de seguridad de aplicaciones web automatizado y una
plataforma de administración de vulnerabilidades. Además, Acunetix también
ofrece un conjunto de herramientas de pentesting manuales que permiten a los
usuarios confirmar de manera rápida y fácil, y realizar pruebas automáticas aún
más.
Primeros pasos con el editor de servicios web de
Acunetix
El editor de servicios web es una herramienta que forma parte del conjunto
de herramientas de prueba de lápices manuales de Acunetix (disponible para
descargar de forma gratuita). El Editor de servicios web le permite importar un
archivo WSDL en línea o local para un análisis en profundidad de las solicitudes
y respuestas WSDL. El editor también ofrece resaltado de sintaxis para todos
los idiomas, lo que facilita la edición de encabezados SOAP y la personalización
de ataques manuales. La edición y el envío de mensajes SOAP de servicios web
es muy similar a la edición de solicitudes normales enviadas a través del Editor
HTTP de Acunetix .
Puede comenzar a utilizar el Editor de servicios web iniciando
la aplicación Acunetix Tools y seleccionando el Editor de servicios web desde
Tools Explorer.
El panel superior del Editor de servicios web es donde puede ver los datos
estructurados de SOAP. El panel inferior muestra la respuesta SOAP recibida del
servidor.
La pestaña WSDL muestra los datos WDSL reales en XML sin formato. Usando
la barra de herramientas proporcionada en la parte inferior de la pantalla,
puede buscar palabras clave o elementos específicos en el archivo WSDL.
Exportar al Editor HTTP
En el Editor de servicios web, puede exportar una solicitud SOAP al Editor HTTP
haciendo clic en el botón Editor HTTP en la barra de herramientas del Editor de
servicios web. La herramienta Editor HTTP automáticamente importará los
datos para que la solicitud se pueda personalizar y enviar como una solicitud
HTTP POST.