Вернуться   RDot > Аспекты НСД > Web-среда/Web-applications

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Старый 12.09.2012, 00:57   #1
16bit
 
Регистрация: 16.06.2011
Сообщений: 66
Репутация: 9
По умолчанию анализ нестандартных файлов - css,картинки и тд

Хотелось бы обсудить пару моментов:

Встречались ли вам (в реальных условиях) ситуации, при которых было реально полезно проанализировать код css, картинок и прочий контент такого рода?

Например - попалась какая-нибудь отладочная информация в css или еще что-нибудь в этом роде. (да и вообще - любая информация,которая может помочь в блекбокс-тестах)


Второй вопрос вытекает из первого -
Насколько целесообразно тщательно анализировать такой контент и вообще - нужно ли его анализировать?

Последний раз редактировалось 16bit; 12.09.2012 в 00:59..
16bit вне форума   Ответить с цитированием
Старый 12.09.2012, 06:31   #2
chupakabra
 
Аватар для chupakabra
 
Регистрация: 09.12.2011
Сообщений: 47
Репутация: 5
По умолчанию

в картинках можно сказать да, в css нет.
пример из жизни: аудит организации => пробив в социалках работников => на фото волосатый чудак за компом (догадка: наверное админ) => пробив его скайпа, а из скайпа его IP => сканирование диапазона, удачный похек.

Последний раз редактировалось chupakabra; 12.09.2012 в 06:35..
chupakabra вне форума   Ответить с цитированием
Старый 12.09.2012, 09:53   #3
Beched
 
Регистрация: 06.07.2010
Сообщений: 400
Репутация: 118
По умолчанию

В .css могут быть сигнатуры движка, копирайты всякие, как и в .js.
Beched вне форума   Ответить с цитированием
Старый 12.09.2012, 09:55   #4
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Или интересные комментарии.
При этом не считаю, что их обязательно нужно просматривать, но по желанию и при отсутствии положительных результатов можно.
SynQ вне форума   Ответить с цитированием
Старый 12.09.2012, 11:14   #5
mr.The
 
Аватар для mr.The
 
Регистрация: 05.07.2010
Сообщений: 73
Репутация: 16
По умолчанию

Цитата:
Сообщение от Beched Посмотреть сообщение
В .css могут быть сигнатуры движка, копирайты всякие, как и в .js.
плюсую.
ещё бывают ценные комментарии или закоменченные куски кода(например всякие ajax вызовы, в которых можно успешно найти раскрытие путей или чего покруче)
__________________
Бложек mr.The. :rolleyes:
mr.The вне форума   Ответить с цитированием
Старый 12.09.2012, 15:08   #6
16bit
 
Регистрация: 16.06.2011
Сообщений: 66
Репутация: 9
По умолчанию

Цитата:
Сообщение от Beched Посмотреть сообщение
В .css могут быть сигнатуры движка, копирайты всякие, как и в .js.

Цитата:
Сообщение от SynQ Посмотреть сообщение
Или интересные комментарии.
При этом не считаю, что их обязательно нужно просматривать, но по желанию и при отсутствии положительных результатов можно.

а что-нибудь встречалось в реальной жизни?
16bit вне форума   Ответить с цитированием
Старый 12.09.2012, 20:45   #7
Qwazar
 
Регистрация: 09.07.2010
Сообщений: 376
Репутация: 154
По умолчанию

В наше время однозначно стоит смотреть все .js, а лучше с дебаггером и включенной консолью ошибок. На предмет забытых XMLHttpRequest'ов, которые не ищутся краулерами.
__________________
Мой блог: http://qwazar.ru/.
Qwazar вне форума   Ответить с цитированием
Старый 12.09.2012, 21:46   #8
nikp
Banned
 
Регистрация: 05.07.2010
Сообщений: 201
Репутация: 183
По умолчанию

Цитата:
Сообщение от 16bit Посмотреть сообщение
а что-нибудь встречалось в реальной жизни?
определить версию joomla
language/en-GB/en-GB.xml
nikp вне форума   Ответить с цитированием
Старый 13.09.2012, 10:05   #9
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

16bit
Пару раз помогало.
SynQ вне форума   Ответить с цитированием
Старый 13.09.2012, 17:21   #10
Nightmare
Banned
 
Регистрация: 06.07.2010
Сообщений: 162
Репутация: 10
По умолчанию

Цитата:
Сообщение от 16bit Посмотреть сообщение
а что-нибудь встречалось в реальной жизни?
Много раз, лично у меня.
Движки назвать точно не могу, но находил админки... что за двиг, непонятно, что за хеш, тоже. Но глянув .css увидел копирайт малоизвестного движка...
Nightmare вне форума   Ответить с цитированием
Ответ

Метки
аналитика, information leakage

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot