Headers curiosos en páginas web

Para todas esas paranoias que se te pasen por la cabeza y más!

Moderador: nake

Avatar de Usuario
nake
管理者 (Admin)
Mensajes: 1994
Registrado: Vie Jun 04, 2010 4:10 pm
Ubicación: (sin(3t), 0, 0, t+10)
Contactar:

Headers curiosos en páginas web

Mensajepor nake » Vie Ene 11, 2013 3:38 pm

Supongo que todos sabéis qué es un header, pero por si acaso lo explico ;)

Cuando haces una petición a una página web, le dices una serie de información (eso ya lo sabríais: cookies, agent, referal, etc), y lo mismo hace el servidor (versión, tipo de conexión, etc).
A esa información se les llama headers. Más que nada porque van antes que el cuerpo del mensaje (http normalmente) y dan información al navegador sobre el mensaje y el servidor.

Si alguien ha usado alguna vez el genial addon para el firefox llamado firebug puede que haya visto estos mensajes antes. Concretamente, en la pestaña de red, al hacer click sobre alguno de las peticiones get, te salen los encabezados enviados por el cliente y el servidor. Muy interesante si quieres saber cómo funciona el servidor, o qué información estás dando al la web que estás visitando.

Aunque hay otras utilidades, por ejemplo, descargar con wget haciéndote pasar al 100% por el navegador, y por tanto tener las mejoras que supone wget respecto al programa de descarga del firefox. De hecho, yo lo he usado mucho. Ya no solo copias las cookies, si no también todos los headers y todo lo que el navegador le dice al servidor.

Pues resulta que muchas páginas web importantes (como wordpress, howtogeek, reddit, surveymonkey, myspace, etc) envían headers curiosos.
De hecho, lo más gracioso es que la mayoría es publicidad. Cosas como "Si has encontrado este header por favor envíanos un email de petición de empleo" xD
Otros te redirigen a páginas de software, diciendo que les comentes el header a la hora de pedirles trabajo.
Y otros directamente ponen tonterías como "X-Powered-By: hamster.in.boogie.wheel", "Server: KONICHIWA/1.0"

Vía: http://royal.pingdom.com/2012/08/15/fun-and-unusual-http-response-headers/
Happy headerhunting!
Mi clave pública de correo electrónico: http://www.nakerium.com/nakerium.gpg (Si no sabes lo que es lee este artículo)
Click aquí para ver mi email.


Programo aplicaciones a la carta (con soporte de por vida, para ingeniería o informática) y doy asesoramiento en seguridad informática. Si quieres más información mándame un email o un mensaje privado.
Avatar de Usuario
sparkzero
Grepping for 42...
Mensajes: 267
Registrado: Mié Mar 23, 2011 9:11 pm

Re: Headers curiosos en páginas web

Mensajepor sparkzero » Vie Ene 11, 2013 9:09 pm

Es curioso, tengo el firebug instalado bastante tiempo y nunca había visto eso. Y mira que lo he usado para saltarme restricciones (aquí no, no me mirés así, nake).

Después de leer el hilo esperaba encontrar algún header gracioso en el foro. Puede ser que no haya mirado en el sitio adecuado, pero creo que simplemente no has cumplido mis expectativas ^^

(Header gracioso en el foro en 3, 2...)
Un jardín nunca está terminado mientras el jardinero viva.
Avatar de Usuario
nake
管理者 (Admin)
Mensajes: 1994
Registrado: Vie Jun 04, 2010 4:10 pm
Ubicación: (sin(3t), 0, 0, t+10)
Contactar:

Re: Headers curiosos en páginas web

Mensajepor nake » Vie Ene 11, 2013 10:48 pm

No puedo ponerlos. El servidor no es mío. Yo solo estoy alquilado...

Y ya se que el firebug vale para saltarse algunas restricciones, pero no hay nada saltable en el foro.
Normalmente las cosas saltables son errores de programación.
Norma #1 sobre programación online: NUNCA confíes en los datos que te envía el cliente.

He visto eso taaantas veces olvidado en muchos programas/aplicaciones web, y taaaantas veces aprovechado jajaja
Tamaños máximos de archivo, formatos de archivo, longitudes de texto, caracteres especiales, restricciones de seguridad evitadas, sql injection, directory traversal, botones desactivados en el cliente, cambio en nombres de usuarios, ... todo vale si no está bien comprobado en el servidor. xDD

Es lo que me gusta de programación de aplicaciones en red: darle vueltas a todo lo que haces y a todo lo que te puede enviar el usuario como datos para evitar que jueguen con el programa como quieran xD
Mi clave pública de correo electrónico: http://www.nakerium.com/nakerium.gpg (Si no sabes lo que es lee este artículo)
Click aquí para ver mi email.


Programo aplicaciones a la carta (con soporte de por vida, para ingeniería o informática) y doy asesoramiento en seguridad informática. Si quieres más información mándame un email o un mensaje privado.

Volver a “Offtopic”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado