Los nombres de host revelan información interesante, como posibles sumideros de código (por ejemplo, ldap1.internal.companyname.com sería LDAPi versus db1.internal.companyname.com, que sería SQLi). Estos se pueden extraer con la herramienta host-extract.rb .
Los parámetros revelan el mismo tipo de información e incluso pueden decir palabras sobre el tipo de consulta. Por ejemplo, a menudo veo ASC o DESC enumerados como nombres de parámetros (especialmente en los botones de clasificación en aplicaciones web), lo que indicaría un tipo de inyección ORDER BY o GROUP BY. A veces, los nombres de los parámetros están ordenados, agrupados o quizás ordenados o simplemente "orden" o "grupo". Estos son muy reveladores.
Además, algunos se denominan "límite" o "desplazamiento" que indica la parte de LÍMITE o DESPLAZAMIENTO de una consulta SQL. Un asesor de aplicaciones web generalmente asume que está inyectando en la cláusula WHERE, pero realmente podría estar en estos otros lugares.
Algunos nombres de parámetros proporcionan otras sugerencias, como si son un entero o una cadena.
A menudo, las herramientas de explotación de SQLi, como sqlmap , Marathon , y bsqlbf-v2 le permitirá configurar la consulta de ataque más específicamente, y sí, el conocimiento del parámetro actual ¡Las claves y los valores sin duda ayudan a probarlos, especialmente durante las pruebas de SQLi ciego!
Los nombres de archivos (a través de una divulgación de ruta) son aún más obvios. Se pueden usar para discernir si un paquete o componente popular de código abierto (o potencialmente de código cerrado si lees mucho código) está instalado en un servidor web. Por lo general, puede bajar a la versión específica. InspathX y WhatWeb utilizan estas técnicas - inspathx para identificar vulnerabilidades de revelación de rutas y WhatWeb, bueno, digamos que ¡WhatWeb puede hacer mucho!
Ya que aproximadamente la mitad de las herramientas que mencioné en esta respuesta citan las herramientas creadas por los miembros actuales del YGN Ethical Hacking Group , debe consultar su área de investigación y laboratorio (accesible desde su página web principal).
Los autores de "Hacking Exposed Web Applications, 2nd Edition" (Tenga en cuenta que la tercera edición ya está disponible, donde se encuentra disponible información actualizada adicional) se refieren principalmente a listas personalizadas de forzados brutos de directorios / archivos, también como Referencias directas a objetos (es decir, OWASP T10 La navegación forzada, OWASP T10 no restringe el acceso a URL, las referencias directas inseguras a objetos de OWASP o la ubicación de recursos predecibles de WASC TC).
En otras palabras, si ves algo como http://owaspbwa/external/
también puedes verificar la existencia de http://owaspbwa/internal/
o similar.