Manual
Páginas: 8 (1946 palabras)
Publicado: 26 de julio de 2014
HACKING CON BUSCADORES
SEGURIDAD EN LA PROGRAMACIÓN WEB
Índice
Introducción
Todo lo relacionado con el hacking, en muchas ocasiones raya con el oscurantismo. Sin embargo hay herramientas de uso común que pueden ser usadas para realizar actividades dehacking, como son los buscadores que usamos diariamente en casa o en el trabajo: Google, Bing o Shodan.
Antes de profundizar, podríamos denominar Hacking, como la técnica que usa un motor de búsqueda para encontrar fallos de seguridad o información confidencial en servidores web. Para ello, existen diversos tipos de buscadores, cada uno con sus propias características, que se han convertido enherramientas fundamentales para la minería de datos y los procesos de inteligencia, con los que podemos encontrar numerosas vulnerabilidades si se sabe cómo y dónde buscar.
A nivel de seguridad, se pueden obtener datos muy útiles de cara a un ataque o a una prueba de intrusión (pentest). Estos ataques podríamos clasificarlos en dos grandes categorías de ataques, los que se dan antes de que una web seaindexada y los que se dan después, estos los veremos con detalle en el documento.
¿Qué es hacking?
Hacking es la búsqueda permanente de conocimientos en todo lo relacionado con sistemas informáticos, sus mecanismos de seguridad, las vulnerabilidades de los mismos, la forma de aprovechar estas vulnerabilidades y los mecanismos para protegerse de aquellos que sabenhacerlo.
Mediante Hacking, es posible encontrar información sobre diversos temas como:
Productos vulnerables
Mensajes de error
Ficheros que contienen información sensible
Ficheros que contienen claves
Ficheros que contienen nombres de usuario
Footholds e información de apoyo al acceso
Páginas con formularios de acceso
Páginas que contienen datos relativos a vulnerabilidades
Directoriossensibles
Información sensible sobre comercio y banca electrónica
Dispositivos hardware online
Ficheros vulnerables
Servidores vulnerables
Detección de servidores web
¿Qué es el archivo robots.txt?
En muchísimas webs podemos ver un archivo muy común llamado “robots.txt”, cuya principal función es ayudar a que los buscadores indexen directorios u otros contenidos que no tendríamos que ver.Como veremos más adelante hay buscadores que indexan contenidos por mucho que la web no quiera y esté el archivo “robots.txt”.
Ejemplo: http://www.miweb.com/robots.txt
Encontramos un archivo de texto plano:
User-agent: * el archivo se reconoce en todos los buscadores.
Disallow: /search evita la indexación de una carpeta o archivo, en este caso no indexara los contenidos deldirectorio search ni sdch.
Este es el típico archivo “robots.txt” con el que nos encontraremos la mayoría de veces, cuyo objetivo fundamental es bloquear el acceso a información.
Procesos de ataque
Como ya adelantamos en la introducción, con ayuda de los buscadores podríamos crear dos categorías generales de ataques, los que se dan antes de que una web sea indexada (pre-indexación) y los que sedan después (post-indexación).
Pre-Indexación
En primer lugar, para entender el ataque nos basaremos en un ejemplo. Hay que descubrir una vulnerabilidad tipo RFI (páginas web diseñadas en PHP) que sea pueda explotar con una sola petición inyectando el exploit en el parámetro GET. Una vez, descubierta la vulnerabilidad, comienza el trabajo de los buscadores.
Para completar la intrusiónbastará simplemente con pedir a un tercero que indexe una URL maliciosa, y al visitar la página para poder indexarla en condiciones cometerán el ataque a la web.
Si bien que en este caso el archivo “robots.txt” seria una buena medida de protección los buscadores no siempre cumplen al pie de la letra el archivo “robots.txt”
A parte de este ejemplo esta técnica se puede usar en ataques XSS, con...
SEGURIDAD EN LA PROGRAMACIÓN WEB
Índice
Introducción
Todo lo relacionado con el hacking, en muchas ocasiones raya con el oscurantismo. Sin embargo hay herramientas de uso común que pueden ser usadas para realizar actividades dehacking, como son los buscadores que usamos diariamente en casa o en el trabajo: Google, Bing o Shodan.
Antes de profundizar, podríamos denominar Hacking, como la técnica que usa un motor de búsqueda para encontrar fallos de seguridad o información confidencial en servidores web. Para ello, existen diversos tipos de buscadores, cada uno con sus propias características, que se han convertido enherramientas fundamentales para la minería de datos y los procesos de inteligencia, con los que podemos encontrar numerosas vulnerabilidades si se sabe cómo y dónde buscar.
A nivel de seguridad, se pueden obtener datos muy útiles de cara a un ataque o a una prueba de intrusión (pentest). Estos ataques podríamos clasificarlos en dos grandes categorías de ataques, los que se dan antes de que una web seaindexada y los que se dan después, estos los veremos con detalle en el documento.
¿Qué es hacking?
Hacking es la búsqueda permanente de conocimientos en todo lo relacionado con sistemas informáticos, sus mecanismos de seguridad, las vulnerabilidades de los mismos, la forma de aprovechar estas vulnerabilidades y los mecanismos para protegerse de aquellos que sabenhacerlo.
Mediante Hacking, es posible encontrar información sobre diversos temas como:
Productos vulnerables
Mensajes de error
Ficheros que contienen información sensible
Ficheros que contienen claves
Ficheros que contienen nombres de usuario
Footholds e información de apoyo al acceso
Páginas con formularios de acceso
Páginas que contienen datos relativos a vulnerabilidades
Directoriossensibles
Información sensible sobre comercio y banca electrónica
Dispositivos hardware online
Ficheros vulnerables
Servidores vulnerables
Detección de servidores web
¿Qué es el archivo robots.txt?
En muchísimas webs podemos ver un archivo muy común llamado “robots.txt”, cuya principal función es ayudar a que los buscadores indexen directorios u otros contenidos que no tendríamos que ver.Como veremos más adelante hay buscadores que indexan contenidos por mucho que la web no quiera y esté el archivo “robots.txt”.
Ejemplo: http://www.miweb.com/robots.txt
Encontramos un archivo de texto plano:
User-agent: * el archivo se reconoce en todos los buscadores.
Disallow: /search evita la indexación de una carpeta o archivo, en este caso no indexara los contenidos deldirectorio search ni sdch.
Este es el típico archivo “robots.txt” con el que nos encontraremos la mayoría de veces, cuyo objetivo fundamental es bloquear el acceso a información.
Procesos de ataque
Como ya adelantamos en la introducción, con ayuda de los buscadores podríamos crear dos categorías generales de ataques, los que se dan antes de que una web sea indexada (pre-indexación) y los que sedan después (post-indexación).
Pre-Indexación
En primer lugar, para entender el ataque nos basaremos en un ejemplo. Hay que descubrir una vulnerabilidad tipo RFI (páginas web diseñadas en PHP) que sea pueda explotar con una sola petición inyectando el exploit en el parámetro GET. Una vez, descubierta la vulnerabilidad, comienza el trabajo de los buscadores.
Para completar la intrusiónbastará simplemente con pedir a un tercero que indexe una URL maliciosa, y al visitar la página para poder indexarla en condiciones cometerán el ataque a la web.
Si bien que en este caso el archivo “robots.txt” seria una buena medida de protección los buscadores no siempre cumplen al pie de la letra el archivo “robots.txt”
A parte de este ejemplo esta técnica se puede usar en ataques XSS, con...
Leer documento completo
Regístrate para leer el documento completo.