Cyber Camp Hacking Web

7/23/2019 Cyber Camp Hacking Web

http://slidepdf.com/reader/full/cyber-camp-hacking-web 1/101

!"##$% '$ (")*+,- .$/



012+3, 456 657

• 856 $9:$%;5 $, 4$-2%+'"' +,<5%=>?)" '$4"%%5##",'5 $, #54

@#?=54 A "B54 =+ #"/5% )5=5 :$,;$4;$% $, '+<$%$,;$4

:%56$);54 '$ C")*+,- 3?)5 :"%" -%",'$4 $=:%$4"4 $

+,4?;2)+5,$4D )5#"/5%"'5% '$# :%5-%"=" E2,'5 (")*$%D

$4)%+;5% '$ '+<$%$,;$4 #+/%54 %$#")+5,"'54 )5, #" 4$-2%+'"'+,<5%=>?)" 6 $# C")*+,- 3?)5D <5%="'5% '$ #54 )2$%:54 6

4$-2%+'"' '$# -5/+$%,5 F4:"B5# 6 45/%$ ;5'5 ":"4+5,"'5 :5%

#" 4$-2%+'"' +,<5%=>?)" 6 424 ":#+)")+5,$4 $, $# =2,'5

");2"#G



H,;%5'2))+I,

• 0123 45, #54 ";"J2$4 " #"4 ":#+)")+5,$4 K$/7

– L5,4+4;$ $, +,;%5'2)+% )I'+-5 '$# #"'5 <%5,;M$,' 5 /")*M$,'D )5, $# N,

'$ )5=:%5=$;$% #" ":#+)")+I,G

•

0123 ?:5 '$ %$:$%)24+I, :2$'$, ##$-"% " ;$,$%7

–

O$:$,'+$,'5 '$# ?:5 '$ ";"J2$ %$"#+P"'5D $4 :54+/#$ )"24"% ="65% 5

=$,5% -%"'5 '$ %$:$%)24+I,G

•

0Q '5,'$ J2$'" #" 4$-2%+'"'7

– R" 4$-2%+'"' #" ?$,$ J2$ " :5%;"% $# '$4"%%5##"'5%G

•

0F9+4;$, =$'+'"4 J2$ "2;5="?P", #" 4$-2%+'"'7 –

S 'T" '$ C56 C"6 '+<$%$,;$4 :%5'2);54 J2$ :%5;$U$, #"4 ":#+)")+5,$4

K$/G



L+/$%";"J2$4

• 85, ;5'54 "J2$##54 ";"J2$4 J2$ 4$ %$"#+P", )5,;%" 4+4;$="4

+,<5%=>?)54 )26" N,"#+'"' :2$'$ 4$% #54 4+-2+$,;$4 :2,;54V

– !5="% $# )5,;%5# '$# 4+4;$="G

– O$,$-")+I, '$# 4$%W+)+5G

–

X?#+P"% $# 4+4;$=" +,<$);"'5 )5=5 :"4"%$#" :"%" %$"#+P"% ";"J2$4G

– Y5/5 '$ )%$'$,)+"#$4G

– F4:+5,"U$G

– O$4;%2))+I, '$# 4+4;$=" +,<5%=>?)5G



L+/$%";"J2$4

• E":"4 K$/ '5,'$ 4$ :2$'$, W+42"#+P"% ";"J2$4 $, $# :"4"'56 $, $# :%$4$,;$V –

CZ:V[[-#5/$G)6/$%<$$'G,$;[

– CZ:V[[";#"4G"%/5%G,$;[K5%#'=":[+,'$9

–

CZ:V[[)6/$%=":G*"4:$%4*6G)5=[ –

CZ:V[[4+)C$%C$+;4;")C5G$2[

– CZ:V[[=":G+:W+*+,-G)5=[

– CZ:V[[KKKG"*"="+G)5=[C;=#[;$)C,5#5-6['";"W+P\GC;=#

– CZ:V[[-#5/$G<M4$)2%$G)5=[

–

CZ:V[[KKKG;$"=M)6=%2G5%-[E5,+;5%+,-[E"#$W5#$,)$[=":4GC;=# –

CZ:V[[KKKG'+-+;"#"Z")*=":G)5=[

– CZ:V[[KKKG4C"'5K4$%W$%G5%-[K+*+[:=K+*+G:C:[8;";4[OO58E":4

– CZ:V[[=":GC5,$6)#52'G,$;[



L+/$%";"J2$4

• F4;"'T4?)" '$ ";"J2$4 K$/ :5% #" $=:%$4" .C+;$("; 8$)2%+;6G



L+/$%4$-2%+'"'

• F# -%>N)5 4+-2+$,;$ )5,?$,$ -%", :"%;$ '$ #"4 5%-",+P")+5,$4J2$ C", 4+'5 WT)?="4 '$ ";"J2$4 K$/V

!"#$%&'

]5/+$%,54 ^_`

a+,",P"4 \_`

b$,;" "# :5% E$,5% c`

F,;%$;$,+=+$,;5 c`

d5#T?)5 ^_`

d5W$$'5% '$ 8$%W+)+5 \_`

F'2)")+I, c`

(54:+;"#$4 c`

8$%W+)+54 '$ H,<5%=")+I, \_`

(54?,- \_`



L+/$%4$-2%+'"'

• S )5,?,2")+I, 4$ #+4;", #"4 :54+/#$4 %$:$%)24+5,$4 J2$ :5'%T"

C")$% )5,;%" #" 5%-",+P")+I, e$=:%$4" 5 +,4?;2)+I, :@/#+)"fV

– Y5/5 '$ H,<5%=")+I, 6 " '$=>4 W$,;" '$ +,<5%=")+I, )5,N'$,)+"# " #"

)5=:$;$,)+"G

–

E",+:2#")+I, ="#+,;$,)+5,"'5 )5, $# :$%N# '$ 2, 242"%+5 '$ #"5%-",+P")+I,G

– F4:+5,"U$G

– O$<")$=$,; '$ #" ":#+)")+I, K$/G

– O$,$-")+I, '$ 8$%W+)+5 )5,;%" #" /"4$ '$ '";54G

– O$,$-")+I, '$ 8$%W+)+5 )5,;%" $# 4$%W+'5% K$/G

– S))$45 )5=:#$;5 "# 4$%W+'5% '$ #" 5%-",+P")+I, =$'+",;$ #" ":#+)")+I,

K$/G

– L%$"% 2, Y55;8$%W$% 2," W$P $4;> )5=:%5=$?'5 $# 4$%W+'5%G



O+,$%5



O+<$%$,)+" $,;%$

d$,;$4;$% 6 L+/$%)%+=+,"#

• S :"%?% '$ "J2T :5'$=54 '+<$%$,)+"% $,;%$ 2, )+/$%)%+=+,"# 6

2, :$,;$4;$%G

• S2'+;5% 5 :$,;$4;$%V /24)"%" #54 "-2U$%54 '$ 4$-2%+'"' )5, $#

N, '$ :%5;$-$%G

• L+/$%)%+=+,"#V /24)"%" ;"=/+3, #54 "-2U$%54 :$%5 )5, N,$4

'$4;%2)?W54G



F;":"4 '$ 2, ";"J2$ K$/

• Y$)5,5)+=+$,;5V )5,4+4;$ $, 5/;$,$% +,<5%=")+I, :2/#+)"

=$'+",;$ =$'+54 :"4+W54 5 =$'+54 ")?W54V

– E$'+54 d"4+W54V C")*+,- )5, /24)"'5%$4D C$%%"=+$,;"4 '$ +,'"-")+I,

$, %$'$4 45)+"#$4D ",>#+4+4 '$ =$;"'";54D C$%%"=+$,;"4 '$ -$4?I, '$

%$'D $;)G –

E$'+54 S)?W54V =$'+",;$ ;3),+)"4 '$ +,-$,+$%T" 45)+"# ":#+)"'"4 " #"4

:$%45,"4 J2$ -$4?5,$, #" ":#+)")+I, K$/ 5 :2$'", ;$,$% "#-@, ?:5

'$ )5,;");5 )5, #" =+4="G

• F,2=$%")+I,V )5,4+4;$ $, $4)",$"% #" %$' 5/U$?W5 :"%"

5/;$,$% #" ="65% +,<5%=")+I, :54+/#$ 45/%$ ;5'" #"

"%J2+;$);2%"G



F;":"4 '$ 2, ";"J2$ K$/

• S,>#+4+4V )5,4+4;$ $, /24)"% ;5'"4 #"4 :54+/#$4

W2#,$%"/+#+'"'$4 $, #54 '+4:54+?W54 $,)5,;%"'54 $, #"4 <"4$4

",;$%+5%$4G

• F9:#5;")+I,V )5,4+4;$ $, $9:#5;"% #"4 W2#,$%"/+#+'"'$4

$,)5,;%"'"4 $, #" $;":" ",;$%+5%D )5, $# 5/U$?W5 '$ :5'$%

:$%:$;%"% 6 $#+=+,"% <"#454 :54+?W54G



F;":"4 '$ 2, ";"J2$

• O$4'$ $# :2,;5 '$ W+4;" '$# :$,;$4;$%V

– O5)2=$,;")+I,V $;":" N,"# '$# :%5)$45 '$ :$,;$4?,- '5,'$ 4$

'$4)%+/$ $# :$,;$4; %$"#+P"'5 $, 2, '5)2=$,;5 '$ )"%" " J2$ #2$-5

:2$'" W5#W$%4$ " %$:%5'2)+%G

• O$4'$ $# :2,;5 '$ W+4;" '$# )+/$%)%+=+,"#V

– g5%%"'5 '$ C2$##"4V $#+=+,")+I, '$ )2"#J2+$% ?:5 '$ %"4;%5 J2$

C2/+$%" :5'+'5 '$U"% $, $# 4+4;$="G



F# $=:+$)$ '$ 2, ";")",;$

• R54 ";"J2$4 " #"4 ":#+)")+5,$4 K$/D $=:+$P", :%+=$%5

":#+)",'5 ;3),+)"4 '$ N,-$%:%+,?,- 6 <55;:%+,?,-G



Y$)"/"% H,<5%=")+I,

• a+,-$%:%+,?,-V ;5'"4 "J2$##"4 ;3),+)"4 J2$ ,54 :$%=+;",

5/;$,$% +,<5%=")+I, 45/%$ $# ?:5 '$ 4+4;$="D #54 4$%W+)+54

J2$ )5%%$,D #" W$%4+I, '$ #54 4$%W+)+54 $;)G

• a55;:%+,?,-V ;5'" "J2$##" +,<5%=")+I, J2$ ":"%$)$ '$ <5%="

:@/#+)"G



h=":

• h=": $4 #" C$%%"=+$,;" :5% $9)$#$,)+" 2?#+P"'" :5% ;5'5 $#

=2,'5 J2$ J2+$%" %$)"/"% +,<5%=")+I, 45/%$ J2$ )5,?$,$ $#

4+4;$="G

• h5 45#5 :$%=+;$ +'$,?N)"% :2$%;54 6 4$%W+)+54G

• O+4:5,$ '$ 2," -%", W"%+$'"' '$ 4)%+:;4 '$ #54 )2"#$4 "#-2,54

'$ $##54 ?$,$, %$:$%)24+I, )5,;%" #"4 ":#+)")+5,$4 K$/



8)%+:;4 h=":



hF!LS!

• ($%%"=+$,;" 2?#+P"'" )5, '+<$%$,;$4 :%5:I4+;54D 2,5 '$ $##54

$4 #" 2?#+P")+I, '$ #" ;3),+)" ig",,$% ]%"/+,-jG

• g",,$% ]%"/+,- )5,4+4;$ $, 5/;$,$% #" W$%4+I, '$ #"4

":#+)")+5,$4G

• F# 5/U$?W5 '$ ,$;)"; )5,;%" #"4 ":#+)")+5,$4 K$/ $4 5/;$,$% #"

$?J2$;" 4$%W$% J2$ $4 '5,'$ 4$ "#=")$," +,<5%=")+I,G



Y$42#;"'5 hF!LS!



(!!d%+,;

• ($%%"=+$,;" J2$ "2;5="?P" #"4 ;3),+)"4 '$ N,-$%:%+,?,-D

:$%=+;$ +'$,?N)"% $# ?:5 '$ 4$%W+'5% K$/D #" ;$),5#5-T"

2?#+P"' +,)#245 )2",'5 C"6 2, .Sa '$ :5% =$'+5G



(")*+,- )5, /24)"'5%$4

• R" 2?#+P")+I, '$ #54 /24)"'5%$4 $4 5;%" <5%=" :"4+W" :"%"

%$)5:+#"% +,<5%=")+I,G

• F4 :54+/#$ $,)5,;%"% +,<5%=")+I, '$ )"%>);$% =26 +=:5%;",;$

:"%" #"4 ":#+)")+5,$4 K$/D C")+$,'5 4+=:#$=$,;$ 245 '$ #54

/24)"'5%$4 )5=5 -55-#$D /+,- $;)G

•

E$'+",;$ $# 245 '$ '$;$%=+,"'"4 $9:%$4+5,$4 '$,;%5 '$#

/24)"'5% :5'$=54 2?#+P",'5 #" "%"B" '$ -55-#$ :5% $U$=:#5D

$,)5,;%"% N)C$%54 '$ ;"%U$;"4 '$ )%3'+;5G



k:$%"'5%$4 2?#+P"'54

$, -55-#$ C")*+,-

• 8+;$V %$4;%+,-$ #" /@4J2$'" 45#5 " #" :>-+," 5 '5=+,+5G

•

H,?;#$V /24)" #" )"'$," +,;%5'2)+'" $, #54 l;2#54 '$ #"4

:>-+,"4G

•

H,2%#V /24)" :5% :>-+,"4 J2$ )5,;$,-", $, #" 2%# #" )"'$,"

+,;%5'2)+'"G

• H,;$9;V #" )"'$," '$ ;$9;5 +,;%5'2)+'" '$/$%> ":"%$)$% $, $#

+,;$%+5% '$ #"4 :>-+,"4G

•

a+#$;6:$V ")5;" #" /@4J2$'" " #"4 :>-+,"4 J2$ )5,;$,-", #"

$9;$,4+I, :2$4;" )5=5 )"'$," $, $# N#$;6:$G



FU$=:#54 '$ -55-#$ C")*+,-

•

H,2%#VK4mn:G+,+joi.8ma!dpj N#$;6:$G+,+

•

H,2%#V=+'+)"%;G='/

• $9;V)-+ +,2%#V)-+M/+, +,;$9;Vqr[/+,[/"4C

•

H,2%#V"'=+,G:C:• a+#$;6:$V4J#

• +,?;#$Vj+,'$9 5<j iH,'$9 5< [j :"44K5%'G;9;

• a+#$;6:$V+,) +,;$9;V=64J#m)5,,$); :"44K5%' s:#$"4$ s)52#' s

:5%;



($%%"=+$,;"4 -55-#$ (")*+,-

•

]55-#$ (")*4G

•

8$"%)C O+--+;6G

• ]55'5%*G

•

81R=":



g@4J2$'" '$ b2#,$%"/+#+'"'$4

•

F9+4;$, C$%%"=+$,;"4 J2$ :$%=+;$, "2;5="?P"% #" /@4J2$'"'$ W2#,$%"/+#+'"'$4 " #" C5%" '$ %$"#+P"% 2, C")*+,- K$/G

•

S#-2,"4 '$ #"4 C$%%"=+$,;"4V –

S%")C,+G

–

S)2,$?9G –

g2%:82+;$G

– S::8)",G

– h$4424G

– .t"<G

–

]%"//$%G –

b$-"G

– 8*+:N4CG



F9:#5;")+I, '$ #" W2#,$%"/+#+'"'

•

($%%"=+$,;"4 2?#+P"'"4 :"%" $9:#5;"% #"4 W2#,$%"/+#+'"'$4

$,)5,;%"'"4V

– 8J#=":G

– ("W+UG

–

8J#h+,U"G

– 81Rg%2;$

– g81R (")*$%G

– S/4+,;C$G

–

E$;"4:#5+;G –

O"%*EQ81RHG



F,;$,'+$,'5 #54 W$);5%$4

•

F9+4;$, '+<$%$,;$4 <5%="4 :"%" ##$-"% " ;$,$% $# W$);5% '$

";"J2$V

– S2'+;5%T" '$ )"U" /#",)"V '+4:5,$=54 '$ /"4;",;$ +,<5%=")+I, '$#

$,;5%,5 :5% #5 J2$ " #" C5%" '$ NU"% $# W$);5% W+$,$ :%>)?)"=$,;$

")5;"'5G –

S2'+;5%T" '$ )"U" ,$-%"V C"6 W$)$4 J2$ 4$ '+4:5,$ '$ =>4 +,<5%=")+I,

6 5;%"4 W$)$4 J2$ =$,54D :$%5 '$ +-2"# =",$%" $4 =>4 ;%"/"U545

$,)5,;%"% #54 W$);5%$4 '$ ";"J2$G

– S2'+;5%T" '$ )"U" -%+4V $4 2," =$P)#" $,;%$ )"U" /#",)" 6 )"U" ,$-%"G

•

O$4'$ $# :2,;5 '$ W+4;" '$# )+/$%)%+=$, :2$'$ C"/$% 2,5/U$?W5 NU"'5 5 /+$, 4+=:#$=$,;$ 2, U2$-5 '$ "P"%G



k/U$?W54 '$ 2, ";"J2$ K$/

•

FW"'+% #"4 =$'+'"4 '$ 4$-2%+'"' $9+4;$,;$4 :"%" )5,4$-2+%

$9;%"$% +,<5%=")+I, '$ )"%>);$% 4$,4+/#$G

• d%5W5)"% 2, ";"J2$ '$ '$,$-")+I, 4$ 4$%W+)+5 J2$ +=:+'" $#

"))$45 " #" ":#+)")+I, K$/G

•

d%5/"% " '$4"%%5##"% ,2$W54 "-2U$%54 '$ 4$-2%+'"' )5,5)+'54

)5=5 _ '"64 J2$ :$%=+;", $9:#5;"% #" ":#+)")+I, K$/G



E$;5'5#5-T"4 (")*+,- .$/

•

k.S8dV F4 2," 5%-",+P")+I, 4+, >,+=5 '$ #2)%5 5%+$,;"'" "

'$4"%%5##"% :%56$);54 '$ )I'+-5 "/+$%;5 :"%" =$U5%"% #"

4$-2%+'"' +,<5%=>?)"G

• hH8!V 8$ ;%";" '$# h"?5,"# H,4?;2;$ k< 8;",'"%'4 ",'

!$)C,5#5-6 :$%;$,$)+$,;$ "# O$:"%;"=$,;5 '$ L5=$%)+5 '$#54 F4;"'54 X,+'54G

• k88!EEV 8$ )5%%$4:5,'$ )5, 2," =$;5'5#5-T" "/+$%;"

'$4"%%5##"'" :5% H8FLkED $, #" J2$ 4$ +,'+)", #"4 :"2;"4 :"%"

)5=:%5/"% #" 4$-2%+'"' +,<5%=>?)"G



E>4 +,<5%=")+I, '$ S;"J2$4

•

F, #" :>-+," '$ 5K"4: :5'$=54 W$% '$ <5%=" )";$-5%+P"'"

)"'" W2#,$%"/+#+'"' J2$ 4$ :2$'$ ":#+)"% $, ":#+)")+5,$4 K$/V

CZ:4V[[KKKG5K"4:G5%-[+,'$9G:C:[L";$-5%6VSZ")*



!5: \_ '$ b2#,$%"/+#+'"'$4 k.S8d



!+:54 '$ S;"J2$4

•

81R H,U$)?5,G

•

g#+,' 8J# H,U$)?5,

• u88 Y$v$);$'G

•

u88 8;5%$'G• L8YaG

• g%2;$ a5%)$

• RaH[YaHG

•

L5==",' F9$)2?5,•

a+#$ X:#5"'



k;%"4 b2#,$%"/+#+'"'$4 .$/

•

u=# H,U$)?5,G

•

O$,+"# 5< 8$%W+)$G

• SU"9 H,U$)?5,G

•

u:";C H,U$)?5,G• g2w$% kW$%v5KG

• d";C !%"W$%4"#

• ROSd H,U$)?5,G

•

Y$v$);$' OkE H,U$)?5,G•

L%544 8+;$ !%")+,-G

•

8$44+5, a+9"?5,G



81R H,U$)?5,

•

81R H,U$)?5,

– a"##5 '$ +,6$))+I,G

– a"#;" '$ W"#+'")+I, '$ $,;%"'"4G

• d$%=+;$ =5'+N)"% #"4 )5,42#;"4 81RG

•

F9;%"))+I, '$ +,<5%=")+I,G



81R H,U$)?5,

•

FU$=:#5 4+, 4J# +,U$)?5,V

)*+,--./&%+0.1#2%-3.4'1+)+5"6789

:5+)+

!!""";"6 7 ;<=>?@A"6ABC

;DE.FG 7 HI>J>K? L MNOP 3.4' QR>N> "67;"6SC

!!"""

5TI>J>K? L MNOP 3.4' QR>N> "6789



81R H,U$)?5,

•

>U.%+02 #23 ID0 V3U.#$23

)*+,--./&%+0.1#2%-3.4'1+)+5"6789 &361=0

:5+)+

!!"""

;"6 7 ;<=>?@A"6ABC

;DE.FG 7 HI>J>K? L MNOP 3.4' QR>N> "67;"6SC

!!"""

5T

I>J>K? L MNOP 3.4' QR>N> "6789 &36 1=0



81R H,U$)?5,



O+<$%$,)+" $,;%$ 4J# +,U$)?5,

6 /#+,' 4J# H,U$)?5,



O+<$%$,)+" $,;%$ 4J# +,U$)?5,

6 /#+,' 4J# H,U$)?5,

•

h5 =2$4;%" +,<5%=")+I,

'$ #" /"4$ '$ '";54 $, $#

,"W$-"'5%G

•

8$ ,$)$4+;" i/55#$",+P"%j#" +,<5%=")+I,G

• F9;%"))+I, '$ '";54 =>4

#$,;"G



FU$=:#5 g#+,' 8J# H,U$)?5,

8$#$))+5," "# =$,54

2, %$-+4;%5 '$ #" ;"/#"

i242"%+54jG

h5 4$#$))+5," ,+,-@,

%$-+4;%5 '$ #" ;"/#"

i242"%+54jG



FU$=:#5 g#+,' 8J# H,U$)?5,

¿1 = 1?

¿1 = 0?



ig55#$",+P")+I,j

• Y$:%$4$,;"% #" +,<5%=")+I, '$

<5%=" /+,"%+"G

• F9;%"$% 2, /+; '$ +,<5%=")+I,

$, )"'" )5,42#;"G



g@4J2$'" g+,"%+"

•

g24)"% 2, W"#5% $, 2,

"%%$-#5 5%'$,"'5G

•

Y$'2)$ #" )5=:#$U+'"' " #"=+;"' $, )"'" +;$%")+I,G

•

E26 $N)+$,;$G



S#-5%+;=5 '$ g@4J2$'" g+,"%+"



d5% $U$=:#5V

724$%x"'=+,y WXY WIKVVZPVYZ[I>NZ\]^]^\\T^8_`89

WIKVVZ AFA \ aaT ^^b

WXY ^^b T ^8_ aaT MWJIO

724$%x"'=+,y WXY WIKVVZPVYZ[I>NZ\]^]^\\Tcb`89

WIKVVZ AFA \ aaT ^^b

WXY ^^b T cb aaT !>NYWY>NO

111



81R H,U$)?5,



81R H,U$)?5,

•

CZ:V[[KKKG4J#+,U$)?5,K+*+G)5=[



81R H,U$)?5,

•

O$=5 81R H,U$)?5, $, Ob.SV



u88

•

Su nombre original es "Cross Site Scripting", y esabreviado como XSS para no ser confundido con las

siglas CSS, (hojas de estilo en cascada).

• Las vulnerabilidades de XSS originalmente abarcaban

cualquier ataque que permitiera ejecutar código de"scripting", como VBScript o JavaScript, en el contexto

de otro sitio web.



u88

•

Las fallas XSS ocurren cada vez que una aplicacióntoma datos no confiables y los envía al navegador web

sin una validación y codificación apropiada.

•

XSS permite a los atacantes ejecutar secuencia de

comandos en el navegador de la victima los cuales

pueden secuestrar las sesiones de usuario, destruir

sitios web, o dirigir al usuario hacia un sitio malicioso.



u88 YFaRFL!FO

•

Los ataques reflejados son aquellos donde el códigoinyectado es reflejado fuera del servidor, tal como en un

mensaje de error, el resultado de una búsqueda o

cualquier otra respuesta que incluya una parte de la

entrada enviada al servidor como parte de una solicitud.



u88 YFaRFL!FO



u88 8!kYFO

•

Los ataques almacenados son aquellos en los que elcódigo inyectado reside permanentemente en los

servidores que lo envían, ya sea en la base de datos, en

un mensaje de un foro, en un log de un visitante, campo

de comentario, etc. La víctima descarga el scriptmalicioso del servidor cuando hace alguna solicitud decontenido



u88 8!kYFO



FU$=:#5 u88

•

L5,4+'$%$ $# 4+-2+$,;$ <5%=2#"%+5V

z<5%= ")?5,x{[%$-+4;%"%G:C:{ =$;C5'x{:54;{|

z:|h5=/%$ '$ 242"%+5V z+,:2; ;6:$x{;$9;{ ,"=$x{%$-m242"%+5{ [|z[:|

z:|F="+#V z+,:2; ;6:$x{;$9;{ ,"=$x{%$-m$="+#{ [|z[:|

z:|z+,:2; ;6:$x{42/=+;{ W"#2$x{Y$-+4;%"%{ [|z[<5%=|



FU$=:#5 u88

•

SC5%" )5,4+'$%$ $# 4+-2+$,;$ !"#$%& '$ +,4$%)+I, '$ #54 '";54V

+< er-$;m="-+)mJ25;$4m-:)eff }

~mdk8!oy%$-m242"%+5yp x "''4#"4C$4e~mdk8!oy%$-m242"%+5ypf•

~mdk8!oy%$-m$="+#yp x "''4#"4C$4e~mdk8!oy%$-m$="+#ypf•

€~4J# x {+,4$%; +,;5 24$%4 e24$%,"=$D $="+#f W"#2$4 ey}~mdk8!oy%$-m242"%+5

yp€yD y}~mdk8!oy%$-m$="+#yp€yf{•



FU$=:#5 u88

•

H="-+,$ $# 4+-2+$,;$ ,5=/%$ '$ 242"%+5V

z4)%+:;|"#$%;eykC ,5ryf•z[4)%+:;|

• 8$ :2$'$ '$;$%=+,"% <>)+#=$,;$ J2$ $# )I'+-5 ",;$%+5% ,5 $4

,5=/%$ '$ 242"%+5 W>#+'5D #5 )2"# '$=2$4;%" J2$ $# )I'+-5

J2$ $4)%+/+=54 ,5 $4 4+$=:%$ :%2'$,;$G

• d5% 42:2$4;5D $# :$#+-%5 '$ u88 %$4+'$ $, $# $<$);5 :%5'2)+'5

)2",'5 #54 '";54 45, %$$,W+"'54 " 5;%54 2?#+P"'5%$4G



FU$=:#5 u88

•

O$4:#+-2$ :5% 2, "'=+,+4;%"'5%Vz;"/#$|

z;%|

z;C|X42"%+5z[;C|

z;C|F="+#z[;C|

z[;%|

z7:C:

+< e~m8F88Hkhoy"'=+,ypf }

~4J# x y4$#$); 24$%,"=$D$="+# <%5= 24$%4y•

~%$42#; x =64J#mJ2$%6e~4J#f•

KC+#$ e~24$% x =64J#m<$;)Cm"445)e~%$42#;ff }

$)C5 {‚;z;%|‚,{•

$)C5 {‚;‚;z;'|}~24$%oy24$%,"=$yp€z[;'|‚,{•

$)C5 {‚;‚;z;'|}~24$%oy$="+#yp€z[;'|‚,{•

$)C5 {‚;z[;%|‚,{•

€

€

7|

z[;"/#$|



FU$=:#5 u88

•

F, $# $U$=:#5 ",;$%+5% 4+ #54 '";54 ,5 45, W"#+'"'54 ",;$4 '$

4$% -2"%'"'54D $# "'=+,+4;%"'5% :5'%> 4$% 42U$;5 '$ 2,

";"J2$ u88G



FU$=:#5 u88

•

F# %+$4-5 $4 "@, =>4 $W+'$,;$ )5, "#-@, ";"J2$ =>4

W+)+545 )5=5 $# 4+-2+$,;$Vz4)%+:;|

'5)2=$,;G#5)"?5, x yCZ:V[[="#+-,5G$U$=:#5G5%-[%5/"m)55*+$4G:C:7

)55*+$4xy ƒ '5)2=$,;G)55*+$z[4)%+:;|

•

F, $4;$ $U$=:#5D $# 4)%+:; '+4;",;$ %5/"m)55*+$4G:C: :2$'$

"))$'$% " #54 )55*+$4 )5, #" W"%+"/#$ ~m]F!oy)55*+$4ypG X, W$P

)":;2%"'54 #54 )55*+$4 :2$'$, 4$% 2?#+P"'54 :"%" #",P"%";"J2$4 '$ 242%:")+I, '$ +'$,?'"'D 5/;$,$% '";54 4$,4+/#$4D

$;)G



u88

•

O$=5 u88 $, Ob.SV



L8Ya

•

F4;$ ?:5 '$ ";"J2$4 $, #2-"% '$ $9:#5;"% #" )5,N",P" '$#

242"%+5 $9:#5;", #" )5,N",P" J2$ C")$ $# 4+?5 K$/ " 424

242"%+54G

• L8Ya +=:#+)" #" 4+=2#")+I, '$ 45#+)+;2'$4 (!!dD :5% #5 )2"# $4

=26 +=:5%;",;$ $,;$,'$% #"4 45#+)+;2'$4 (!!dG



L8Ya

•

L5,4+'$%$ 2, <5%5 C+:5;3?)5 $, CZ:V[[<5%5G$U$=:#5G5%-[ J2$2?#+P" $# 4+-2+$,;$ <5%=2#"%+5V

z<5%= ")?5,x{["''m:54;G:C:{|

z:|S42,;5V z+,:2; ;6:$x{;$9;{ ,"=$x{:54;m42/U$);{ [|z[:|

z:|E$,4"U$V z;$9;"%$" ,"=$x{:54;m=$44"-${|z[

;$9;"%$"|z[:|

z:|z+,:2; ;6:$x{42/=+;{ W"#2$x{F,W+"%{ [|z[:|

z[<5%=|



L8Ya

•

O"'5 J2$ $, $# )I'+-5 ",;$%+5% ,5 4$ +,'+)I dk8! 2,"45#+)+;2' ]F! $4 $,W+"'"V

]F! ["''m:54;G:C:7:54;m42/U$);x<55„:54;m=$44"-$x/"%

(!!d[\G\

(k8!V <5%5G$U$=:#5G5%-

L55*+$V d(d8F88HOx\^tAc…†‡ˆ



L8Ya

•

L5,4+'$%$ #" $?J2$;" z+=-| 4+-2+$,;$V

z+=- 4%)x{CZ:V[[<5%5G$U$=:#5G5%-["''m:54;G:C:7

:54;m42/U$);x<55„:54;m=$44"-$x/"%” [|

•

L2",'5 2, ,"W$-"'5% :+'" $4;" +="-$, W" " $,W+"%

$9");"=$,;$ #" =+4=" 45#+)+;2' '$ #" N#=+," ",;$%+5%G R"WT)?=" W" " $,W+"% 2, =$,4"U$ $, $# <5%5 6 4+, '"%4$ )2$,;"G



L8Ya

•

O$=5 L8Ya $, Ob.SV



g%2;$ a5%)$

•

X, ";"J2$ '$ <2$%P" /%2;" $4 2, =3;5'5 J2$ 4$ 24" :"%""'+W+,"% #"4 )%$'$,)+"#$4 '$# 4+4;$=" =$'+",;$ #"

"2;5="?P")+I, '$ #" :%2$/" '$ )%$'$,)+"#$4G

• F4;$ ";"J2$ $4 )5,5)+'5 )5=5 )%")*+,- 5,#+,$ '$/+'5 " J2$

";")" " 2, 4$%W+)+5 )26" "%J2+;$);2%" $4 L#+$,;$[8$%W+'5%G•

R#$W"'5 "# >=/+;5 '$# C")*+,- K$/ $4;$ ";"J2$ %$:$%)2?%> $,

;5'"4 #" ":#+)")+5,$4 '5,'$ $9+4;" 2, :",$# '$ #5-+,G

•

F# k/U$?W5 '$ $4;$ ";"J2$ $4 4")"% #"4 )%$'$,)+"#$4 '$ #"

:#";"<5%="G



g%2;$ a5%)$

•

O$=5 g%2;$ a5%)$ $, Ob.SV



RaH

•

Es utilizada en sitios que permiten el enlace de archivoslocales, debido a una mala verificación en laprogramación de la página, que contiene las funcionespropias de PHP: include(), include_once(), requiere(),

requiere_once().

• Solo existe en páginas dinámicas desarrolladas en PHP.



RaH

•

O$=5 RaH $, Ob.SV



YaH

•

Es utilizada en sitios que permiten el enlace de archivosremotos, debido a una mala verificación en laprogramación de la página, que contiene las funcionespropias de PHP: include(), include_once(), requiere(),

requiere_once().

• Solo existe en páginas dinámicas desarrolladas en PHP.



YaH

•

O$=5 YaH $, Ob.SV



L5==",' F9$)2?5,

•

d$%=+;$ #" $U$)2)+I, '$ '$;$%=+,"'54 )5=",'54 $, $#4+4;$="G

• F4;" W2#,$%"/+#+'"' :$%=+?%> =5'+N)"%D $#+=+,"% "%)C+W54 6

'+%$);5%+54 '$# 4$%W+'5%D #"4 :54+/+#+'"'$4 45, +,N,+;"4D 42

@,+)" #+=+;")+I, $4 $# 242"%+5 J2$ 24" #" )5,45#" :"%" $U$)2;"%#54 )5=",'54D "4T '$:$,'$%T" '$ #54 :$%=+454 '$ $4$ 242"%+5

:"%" %$"#+P"% )+$%;"4 "))+5,$4G



L5==",' F9$)2?5,

•

O$=5 L5==",' F9$)2?5, $, Ob.SV



a+#$ X:#5"'

•

L5,4+4;$ $, 42/+% "# 4+4;$=" 2, N)C$%5 ="#+)+545 6" 4$" 4+,":#+)"% ,+,-2," ;3),+)" '$ )"=2v"=+$,;5 5 /+$, )"=2v",'5

$# ="#K"%$ '$,;%5 '$ 2,5 #54 N)C$%54 )5,4+'$%"'54 :5% $#

4+4;$=" )5=5 ")$:;"/#$G

•

S#-2,"4 ;3),+)"4 ":#+)"'"4 :"%" )"=2v"% $# ="#K"%$ 45,V –

h2## g6;$G

– H,;%5'2))+I, " ;%"W34 '$ =$;"'";54G

– E5'+N)")+I, '$ #"4 )"/$)$%"4 '$# N)C$%5G

–

E5'+N)")+I, '$ #" F9;$,4+I,G



a+#$ X:#5"'

•

O$=5 a+#$ X:#5"' $, Ob.SV

E$'+'"4 '$ d%5;$))+I,



E$'+'"4 '$ d%5;$))+I,

L5,;%" 8J# H,U$)?5,

•

F9:%$4+5,$4 %$-2#"%$4G

•

b"#+'")+I, '$ ?:5G

• F4)":"% )"%");$%$4

F4:$)+"#$4G

• R+/%$%T"4 '$ 4$-2%+'"'G

• F8SdHG

• X2 '202 d&e&I#F"+f1

E$'+'"4 '$ d%5;$))+I,



E$'+'"4 '$ d%5;$))+I,

L5,;%" 8J# H,U$)?5,

•

L5,42#;"4 d"%"=$;%+P"'"4V

•

O$N,+% :%+=$%5 #"

)5,42#;" 6 #2$-5 :"4"%#$

#54 :"%>=$;%54G

• d%$:"%$' 8;";$=$,;4G

• 8;5%"-$ d%5)$'2%$4

E$'+'"4 '$ d%5;$))+I,



E$'+'"4 '$ d%5;$))+I,

L5,;%" 8J# H,U$)?5,

•

d$%=+454 '$ S))$45VR"4 ":#+)")+5,$4 ,5

,$)$4+;", #" )2$,;" '$

S'=+,+4;%"'5%G

• ]YSh! SRR dYHbGGG

0F4 h$)$4"%+57

•

S:#+)")+5,$4'+<$%$,;$4D 242"%+54

'+<$%$,;$4



E$'+'"4 '$ d%5;$))+I, )5,;%" u88

•

u88V –

(!ERN#;$% $4 2, :%56$);5 :"%" d(d J2$ ","#+P" ;5'54 #54 '";54 (!!d

",;$4 '$ 4$% 2?#+P"'54G

•

a+#;%"% ;5'54 #54 '";54 <5%>,$54G

•

X?#+P"% #" <2,)+5,"#+'"' $9+4;$,;$V C;=#$,??$4efD 4;%+:m;"-4D2‰‡m'$)5'$efD $;)G :2$'$, "62'"% " $4)%+/+% #" #I-+)" '$

N#;%"'5G

• 85#"=$,;$ "2;5%+P"% 2, )5,;$,+'5 W"#+'"'5G

•

X?#+P"% 2," )5,W$,)+I, '$ ,5=/%$4 '$4)%+:?W"G



E$'+'"4 '$ d%5;$))+I, )5,;%" L8Ya

•

X?#+P"% $# =3;5'5 dk8! $, #54 <5%=2#"%+54G

•

X?#+P"% $# "%%$-#5 ~mdk8! $, #2-"% '$ #"4 W"%+"/#$4 )%$"'"4

-%")+"4 " #'($!&'# m()*+,)!G

•

h5 4+=:#+N)"% #"4 "))+5,$4 +=:5%;",;$4G

•

k/#+-"% "# 242"%+5 " 2?#+P"% ,2$4;%54 <5%=2#"%+54 (!ERG



E$'+'"4 '$ d%5;$))+I, )5,;%" L8Ya

•

X, $U$=:#5 '$ ;3),+)" :"%" 5/#+-"% "# 242"%+5 " 2?#+P"%,2$4;%54 :%5:+54 <5%=2#"%+54 $4 #" 4+-2+$,;$V

z7:C:

~;5*$, x ='ce?=$eff•

~m8F88Hkhoy;5*$,yp x ~;5*$,•

~m8F88Hkhoy;5*$,m?=$4;"=:yp x ?=$ef•

7|

z<5%= ")?5,x{["''m:54;G:C:{|

z+,:2; ;6:$x{C+''$,{ ,"=$x{;5*$,{ W"#2$x{z7:C: $)C5 ~;5*$,• 7|{ [|

z:|S42,;5V z+,:2; ;6:$x{;$9;{ ,"=$x{:54;m42/U$);{ [|z[:|

z:|E$,4"U$V z;$9;"%$" ,"=$x{:54;m=$44"-${|z[;$9;"%$"|z[:|z:|z+,:2; ;6:$x{42/=+;{ W"#2$x{F,W+"%{ [|z[:|

z[<5%=|

E$'+'"4 '$ d%5;$))+I,



E$'+'"4 '$ d%5;$))+I,

)5,;%" g%2;$ a5%)$

•

X?#+P")+I, '$ )":;)C"4G

•

E$'+'"4 '$ /",$5 ##$-"'5 " #54 9 +,;$,;54 '$ $%%5%G

• X?#+P")+I, '$ )5,;%"4$B"4 %5/24;"4G

• X?#+P")+I, '$ C$%%"=+$,;"4 J2$ :$%=+;$, :%5;$-$% " #54

:",$#$4 K$/ <%$,;$ " $4;54 ";"J2$4D :5% $U$=:#5 #"

C$%%"=+$,;" )d(XRŠ g%2;$ a5%)$ d%5;$)?5,G



E$'+'"4 '$ d%5;$))+I, )5,;%" RaH

•

Como contramedida podemos recomendar lossiguientes items:

• Filtrar todos los parámetros que un usuario de la páginapueda manejar.

•

Asegurarse de que no se pueda acceder a archivos másallá del "Document Root" de la página.

• Procesamiento correcto del parámetro y de la funciónque se dedique a recuperar el contenido del fichero que

necesitemos.



E$'+'"4 '$ d%5;$))+I, )5,;%" YaH

•

Como contramedida podemos recomendar lossiguientes items:

• Filtrar todos los parámetros que un usuario de la páginapueda manejar.

•

Procesamiento correcto del parámetro y de la funciónque se dedique a recuperar el contenido del fichero quenecesitemos.

• Si es posible setear la variable de PHP“allow_url_fopen

” en off

E$'+'"4 '$ d%5;$))+I,



E$'+'"4 '$ d%5;$))+I,

)5,;%" L5==",' F9$)2?5,

•

h5 :$%=+?% #" +,4$%)+I, '$ )5=",'54 )5=5 „„ 5 ‹‹G

•

a+#;%"% $# )"=:5 '$ ;"# =",$%" J2$ 45#5 :$%=+;" #"

+,;%5'2))+I, '$# )5=",'5 $4:$%"'5G

•

S:#+)"% )5=:%5/")+5,$4 45/%$ $# )"=:5D '$;$%=+,",'5 $#

?:5 '$ '";54 J2$ 4$ #$ :"4"%>, " #54 :"%>=$;%54 J2$ %$)+/$ $#)5=",'5G

' ' ' I



k;%"4 E$'+'"4 '$ d%5;$))+I,

•

8+4;$="4 '$ '$;$))+I, 6

:%$W$,)+I, '$ +,;%2454G

e8,5%;D d(dHO8f

• .$/ S::#+)"?5, a+%$K"##G

e=5'm4$)2%+;6f

• Y$$4)%+;2%" '$ 45#+)+;2'$4

(!!dG e=5'm%$K%+;$f

•

g"4"'54 $, :";%5,$4Gh5 \__` )5,N"/#$4G

' # +I



F,;5%,54 '$ F9:#5;")+I,

•

F9+4;$, '+<$%$,;$4 $,;5%,54 '$ $9:#5;")+I, K$/D ")5,?,2")+I, 4$ #+4;", "#-2,54 '$ $##54V

– Ob.SG

– hk.S8d E2?##+'"$G

–

81RHMRSg8G –

E$;"4:#5+;"/#$G

– .$/]5";G

– /.SddG

– d$,;$4;$%R"/G

! ## ' ( *+



!"##$% '$ (")*+,-

•

!$),5#5-T"4 2?#+P"'"4V –

d%5-%"=")+I, '$# #"'5 L#+$,;$V Œ"W"8)%+:;G

– d%5-%"=")+I, '$# #"'5 8$%W+'5%V d(d6 Œ8dG

– 8+4;$=" -$4;5% '$ /"4$ '$ '";54V E5,-5Og 6 8J# 8$%W$%G

•

S;"J2$4 J2$ 4$ %$"#+P"%>,V –

g#+,' h581R H,U$)?5, '$# ?:5 /55#$",G

– CZ: d"%"=$;$% d5##2?5,G

– g#+,' 8J# H,U$)?5, ?=$ /"4$'G

–

(55*+,- u88 8;5%$'G

1 3 E Og7



0123 $4 E5,-5Og7

•

E5,-5Og $4 2, 4+4;$=" '$ /"4$4 '$ '";54 h581R 5%+$,;"'" "'5)2=$,;54D '$4"%%5##"'5 /"U5 $# )5,)$:;5 '$ )I'+-5 "/+$%;5G

• F, #2-"% '$ -2"%'"% #54 '";54 $, ;"/#"4 )5=5 4$ C")$ $, #"4

/"4$4 '$ '";54 %$#")+5,"#$4D E5,-5Og -2"%'" $4;%2);2%"4 '$

'";54 $, '5)2=$,;54 ?:5 Œ8kh )5, 2, $4J2$=" '+,>=+)5G•

h5 )2=:#$ )5, $# $4J2$=" $,?'"'M%$#")+I,G

•

h5 +=:5,$ 2," $4;%2);2%" '$ '";54G

LYXO



LYXO

•

L%$";$ –

'/G)5##$)?5,G+,4$%;e z'5)2=$,;| f

– '/G)5##$)?5,G4"W$e z'5)2=$,;| f

– '/G)5##$)?5,G2:'";$e zJ2$%6|D z2:'";$|D } 2:4$%;V ;%2$ € f

•

Y$"' –

'/G)5##$)?5,GN,'e zJ2$%6|D z:%5U$)?5,| f

– '/G)5##$)?5,GN,'k,$e zJ2$%6|D z:%5U$)?5,| f

• X:'";$

–

'/G)5##$)?5,G2:'";$e zJ2$%6|D z2:'";$|D z5:?5,4| f•

O$#$;$

– '/G)5##$)?5,G%$=5W$e zJ2$%6|D zU24;k,$| f

h 8 #



h58J#

0d 3 7



0d5% J23 42%-$7

•

d5)" $N)+$,)+" $, ":#+)")+5,$4 $, #"4 gO %$#")+5,"#$4G

•

S2=$,;5 '$ 5:$%")+5,$4 '$ #$);2%" 6 $4)%+;2%"G

• ]%", )5,U2,;5 '$ ;%",4"))+5,$4G

• 8$,;$,)+"4 )5=:#$U"4G

• O+N)2#;"'$4 $, #"4 $4)"#"/+#+'"' '$# 4+4;$="G

L ; T ? h 81R



L"%");$%T4?)"4 h581R

•

L5,4+4;$,)+" FW$,;2"#G

•

S24$,)+" '$ $4J2$=" $, #54 %$-+4;%54 '$ '";54G

• S#;" W$#5)+'"' '$ %$4:2$4;" " :$?)+5,$4G

• F4;%2);2%" '+4;%+/2+'"G

•

F4)"#"/+#+'"' C5%+P5,;"#G

8+4;$="4 $, d%5'2))+I,



J2$ 24", E5,-5Og

. / 8 +



.$/ 8$%W+)$4

•

!$),5#5-T" 2?#+P"'" :"%" +,;$%)"=/+"% '";54 $,;%$":#+)")+5,$4G

• O+4?,;"4 ":#+)")+5,$4 6 $,;5%,54 :2$'$ C")$% 245 '$ #54 K$/

4$%W+)$4 :"%" +,;$%)"=/+"% +,<5%=")+I, 6 :%5)$4"%#"G

•

8kSdV –

d%5;5)5#5 45/%$ $# J2$ 4$ $4;"/#$ $# +,;$%)"=/+5G

•

.8ORV

– F4 $# #$,-2"U$ '$ #" +,;$%<"P :@/#+)" :"%" #54 4$%W+)+54 .$/G F4 2,"

'$4)%+:)+I, /"4"'" $, uER '$ #54 %$J2+4+;54 <2,)+5,"#$4 ,$)$4"%+54:"%" $4;"/#$)$% 2," )5=2,+)")+I, )5, #54 4$%W+)+54 .$/G

(!!d d"%"=$;$% d5##2?5,



(!!d d"%"=$;$% d5##2?5,

•

R54 ";"J2$4 '$ :5#2))+I, '$ :"%>=$;%54 (!!d )5,4+4;$, $, #"+,6$))+I, '$ '$#+=+;"'5%$4 J2$%6 4;%+,- )5'+N)"'54 $, 5;%54

:"%>=$;%54 $9+4;$,;$4G

• 8+ $# :"%>=$;%5 $, $# J2$ 4$ C" %$"#+P"'5 #" +,6$))+I, ,5 $4

W"#+'" )5%%$);"=$,;$ 6 4$ 2?#+P" '$)5'+N)"'5 :"%" -$,$%"%2," XYRD $# ";")",;$ :2$'$ +,4$%;"% 2,5 5 =>4 :"%>=$;%54 $,

'+)C" XYRG

• R"4 )5,4$)2$,)+"4 '$ $4;$ ";"J2$ '$:$,'$, '$ #" #I-+)" '$ #"

":#+)")+I, 6 :2$'$, ;$,$% '$4'$ 2, #$W$ +=:");5 C"4;" 2,"-%", +=:5%;",)+"G

(!!d d"%"=$;$% d5##2?5,



(!!d d"%"=$;$% d5##2?5,

•

O$:$,'+$,'5 '$# #$,-2"U$ '$# 4$%W+'5% 4+ 4$ ":#+)" $# ";"J2$(dd 4$ )5-$%> $# :%+=$%5D $# 4$-2,'5 5 "=/54 :"%>=$;%54

%$:$?'54G

g$$<



g$$<

•

($%%"=+$,;" '$4"%%5##"'" $, Œ"W"8)%+:; $4 5:$,M452%)$G

•

d$%=+;$ =$'+",;$ Œ"W"8)%+:; +,<$);"% #54 ,"W$-"'5%$4 6

2?#+P",'5 2," -%", W"%+$'"' '$ 4)%+:;4 $U$)2;"% '+<$%$,;$4

";"J2$4 $, <2,)+I, '$# ?:5 '$ ,"W$-"'5% J2$ 4$ C"6"

+,<$);"'5G•

g$$< $4 2," #+/%$%T" '$ Œ"W"8)%+:; )5=5 :5% $U$=:#5 #" #+/%$%T"

U12$%6D J2$ 4$ +,)#26$ $, 2," :>-+," 6 $4;" 4$ '+4;%+/26$ :"%"

+,<$);"% #54 ,"W$-"'5%$4G

!"##$% '$ (")*+,-



!"##$% '$ (")*+,-

!"##$% (")*+,- K$/



!"##$% (")*+,- K$/

Documents

Cyber Camp Hacking Web