domingo 31 de enero de 2010

Partial Function Disclosure --> New Term

El PFD consiste en que tras introducir valores malformados podamos obtener errores de los cuales extraer la ruta y parcialmente algunas funciones usadas por la web. Cómo podemos observar el concepto es parecido al del FPD (Full Path Disclosure) y su explotación será casi la misma que el FPD pero la diferencia radica en que a la hora de explotar el bug se mostraran algunas de las funciones que son usadas por la aplicación web como se muestra a continuación en la figura.




Como vemos el bug lo estamos explotando asiendo a la variable query= en un array como se muestra en la imagen (query[]= ) lo cual aparte de mostrarnos la ruta con lo cual vendría a ser un FPD (Full Path Disclosure). Aparte se mostrarían algunas de las funciones que usa la web y la línea de código en la cual están siendo usadas lo cual vendría a ser el PFD (Partial Function Disclosure) que es el tema de este paper.


Algunos tendrán la pregunta diciendo de que sirve poder ver algunas de la funciones usadas en la aplicación web pues bueno todo nos podría ser útil para saber a que tipo de filtros pro ejemplo nos estamos enfrenta y a la vez nos vamos asiendo una idea de cómo esta programa la aplicación web y que tipo de seguridad se esta empleando.


Bueno con esto termino esta explicación de PFD (Partial Function Disclosure)
PFD (Partial Function Disclosure) escrito y Termino inventado por Jordan Alexander Diaz Diaz (jdiaz@aqpgrid.com)


---------------------------------


Bueno he decidido compartir esta entrada para que den su opinion de este tema, mi opinion humilde y personal es:


me es una idea original el buscar nuevos nombres pero es según yo es lo mismo que un FPD, yo no soy un experto asi que les dejo a su análisis...

además si alguien me puede mostrar una web con FPD que no me muestre función me gustaría verla...



Saludos
Dr.White