Hackear sitios web con inyección SQL – Computerphile
Los ciberdelincuentes utilizan muchas herramientas y técnicas diferentes para obtener acceso a la información sensible que se encuentra en línea. A menudo atacan sitios web y recursos de red en un esfuerzo por extorsionar dinero o robar activos de las organizaciones.
Un ataque de inyección SQL coloca SQL en un formulario web en un intento de que la aplicación lo ejecute. Por ejemplo, en lugar de escribir texto sin formato en un campo de nombre de usuario o contraseña, un hacker puede escribir ” OR 1=1″.
La mayoría de los ataques DDoS se llevan a cabo utilizando ordenadores que han sido comprometidos con malware. Los propietarios de los ordenadores infectados pueden incluso no ser conscientes de que su máquina está enviando solicitudes de datos a su sitio web.
Hay muchas maneras de que los hackers transmitan comandos falsos, incluyendo formularios ocultos, AJAX y etiquetas de imagen. El usuario no es consciente de que el comando ha sido enviado y el sitio web cree que el comando ha venido de un usuario autenticado.
Los propietarios de sitios web pueden evitar los ataques CSRF comprobando las cabeceras HTTP para verificar de dónde procede la solicitud y comprobar los tokens CSRF en los formularios web. Estas comprobaciones garantizarán que la solicitud procede de una página dentro de la aplicación web y no de una fuente externa.
¡Asegure su sitio web ahora!
Bienvenidos de nuevo, mis hackers en ciernes. Con este artículo, estoy iniciando una nueva serie que muchos de ustedes han estado pidiendo: En tutoriales anteriores, hemos tocado algunas de las técnicas y herramientas para el hackeo de aplicaciones web. Hemos visto las pruebas de vulnerabilidad de aplicaciones web, la clonación de sitios web, el footprinting de aplicaciones web, el crackeo de contraseñas de aplicaciones web, y muchas otras. En esta serie, comenzaremos con lo básico y avanzaremos lentamente hacia técnicas y herramientas más avanzadas. Es probable que esta sea una serie muy larga.Vamos a empezar por dar primero los enlaces a lo que ya hemos cubierto y luego proceder a los fundamentos de los vectores de ataque para aplicaciones web.Hackear aplicaciones web y esta serie se puede dividir en varias áreas.
Mapeo del Servidor y la AplicaciónComo en cualquier hackeo, cuanto más sepamos sobre el objetivo, mayores serán nuestras posibilidades de éxito. En el caso de las aplicaciones web, es probable que queramos conocer el sistema operativo de destino, el servidor web y las diversas tecnologías que soportan la aplicación web.Además, el mapeo de la aplicación podría incluir la enumeración del contenido y la funcionalidad, el análisis de la aplicación, la identificación de la funcionalidad del lado del servidor y el mapeo de la superficie de ataque. Es esencial que hagamos esto primero y con precisión antes de proceder a cualquier ataque.
¿Cómo hackean los hackers cualquier sitio web en 9 minutos y 6 segundos?
El hackeo de sitios web es uno de los tipos de ataque más comunes. Este artículo está dedicado a estos ataques y a la protección contra ellos. Abordaré los fundamentos del pentesting para aplicaciones web y explicaré cómo hacer frente a los motores web más populares utilizando ejemplos de la vida real.
En enero de 2020, había 1.740 millones de sitios web en Internet, y una gran parte de ellos son vulnerables. Hace diez años, el Web Application Security Consortium demostró que al menos el 13% de los sitios pueden ser hackeados automáticamente. Positive Technologies ha publicado recientemente un estudio titulado Web Application Vulnerabilities: Estadísticas para 2018; según el mismo, el 19% de las aplicaciones web probadas eran vulnerables. ¡Qué gran oportunidad para los malhechores!
A veces, puedes encontrarte con un CMS hecho a medida y creado para un sitio web específico; pero estos fenómenos son extremadamente raros hoy en día. Sólo un recurso web importante puede permitirse el mantenimiento de su propio sistema.
Desde la perspectiva del atacante, los motores de sitios no son diferentes de otros servicios. En la mayoría de los casos, sus códigos fuente están disponibles públicamente; y todo el mundo puede comprobar dicho código en busca de errores y vulnerabilidades. Por lo tanto, los sitios basados en CMS rara vez son víctimas de ataques dirigidos individualmente: normalmente, son hackeados en masa.
Hackeo de sitios web en 6 minutos
Hacker101 es una clase gratuita sobre seguridad web. Tanto si eres un programador interesado en las recompensas por errores como si eres un experimentado profesional de la seguridad, Hacker101 tiene algo que enseñarte. Aprende a hackear con nuestras lecciones de vídeo, guías y recursos gratuitos y pon en práctica tus habilidades con los niveles de Capture the Flag (CTF) inspirados en vulnerabilidades del mundo real. Únete a la comunidad de Discord y chatea con otros miles de estudiantes.Empieza a aprender
Nos hemos asociado con Burp Suite para ofrecer a los prometedores hackers éticos todas las capacidades que ofrece Burp Suite Pro. Cuando alcance al menos una reputación de 500 y mantenga una señal positiva, podrá obtener 3 meses gratis de Burp Suite Professional, la principal solución de hacking ofensivo.Aprender más
Compite y colabora con otros hackers, ganando estatus y puntos de reputación. Obtenga recompensas por enviar sistemáticamente informes de vulnerabilidad válidos, descubrir errores impactantes y documentar profesionalmente sus hallazgos. Desbloquea invitaciones al programa privado de recompensas por errores, objetivos exclusivos y oportunidades para aprender y ganar con otros hackers.Ver tabla de clasificación