elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?  (Leído 10,622 veces)
The_Mushrr00m

Desconectado Desconectado

Mensajes: 163


"Don't worry, be Hacked........"


Ver Perfil WWW
Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?
« en: 25 Enero 2013, 22:50 pm »

Bueno pues justo esa es mi duda, soy de ese tipo de personas que les gusta hacer las cosas por si mismo, y pues, esa es la duda que tengo.

Que necesito aprender para poder buscar vulnerabilidades en sitios y aplicaciones web manualmente, ya que no eh usado ni quiero usar aplicaciones del tipo Nessus, Acunetix, w3af, etc.

¿Me aconsejarían?
Puedo decir que tengo conocimientos basicos de PHP y javascript.
Conocimientos un poco mas avanzados en SQL, así que inyecciones SQL no hay tanto problema, manualmente las encuentro  ::)

¿Voy por buen camino? ¿Qué mas debería aprender?
Ya que pienso dedicarme a la seguridad informática cuando termine la carrera (la cual aun no empiezo  :xD )
Siempre ahí que tener un plan de contingencia y ese es el mio por si no logro trabajar como programador  :P

Saludos..!


En línea

«No hay camino para la verdad, la verdad es el camino»

The_Mushrr00m

Desconectado Desconectado

Mensajes: 163


"Don't worry, be Hacked........"


Ver Perfil WWW
Re: Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?
« Respuesta #1 en: 26 Enero 2013, 04:32 am »

Me quede con una duda, esto va aqui o en http://foro.elhacker.net/nivel_web-b83.0/  :xD


En línea

«No hay camino para la verdad, la verdad es el camino»

#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?
« Respuesta #2 en: 26 Enero 2013, 04:40 am »

Hay una cosa muy importante, ingenio. Y aparte de eso..
http://foro.elhacker.net/desarrollo_web/que_lenguaje_aprendo-t377774.0.html + HTTP/S (para las cabeceras y todo eso xD)

PD: Yo siempre opino que uno deberia saber como funciona una web internamente para saber atacarla.. No se vale la ***** esa de aquí te pillo aquí te **** probando meter alert("XSS") hasta en los checkbox xD

Saludos
En línea

alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?
« Respuesta #3 en: 26 Enero 2013, 04:45 am »

es que estas hablando de constructivismo pedagógico puro. no hay recetas. es mas bien un estado mental y una tendncia a hacerse preguntas, mas que el hecho de conocer las respuestas.

de todos modos, todos los lenguajes que puedas iran bien pero está claro que javascript php sql y html son clave, seguidos de otros como python etc. cualquier programa te servirá no solo para entender como funciona una web y atacarla, sino para desarrollar aplicaciones auxiliares que te asistan durante los procesos de assessment. cada dia podrias encontrar una necesidad distinta.

el dominio de las herramientas GNU es básico. usar solo windows te complica MUCHO la existenia en un proceso de security assessment. si dominas windows y un entorno GNU con todas sus herramientas (normalmente gnu/linux), mucho mejor. particularmente, el uso de las tan temidas pro todos RegExp, combinado con scripts en bash/python/perl y un par de herramientas GNU como wget o curl, puede resultar muy util a la hora de realizar valoraciones de seguridad relacionadas con la validacion de formularios, por ejemplo.

PD: la lógica abstracta es una capacidad humana que está muy relacionada con tod esto. es la base de la inteligencia de todo tipo de hackers y de investigadores en áreas tecnologicas, etc. se desarrolla programando y tratando de "emular mentalmente" el famoso "qué pasaria si"... ahi empieza la fiesta muchas veces... :D
« Última modificación: 26 Enero 2013, 04:52 am por alist3r » En línea

Back 2 business!
The_Mushrr00m

Desconectado Desconectado

Mensajes: 163


"Don't worry, be Hacked........"


Ver Perfil WWW
Re: Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?
« Respuesta #4 en: 26 Enero 2013, 05:12 am »

En el post que linkeaste drvy | BSM pones
Citar
Por las chinchetas de este subforo =)

Nivel Web - http://foro.elhacker.net/nivel_web-b83.0/

Saludos
así que mirare ahí  :P
Citar
Hay una cosa muy importante, ingenio. Y aparte de eso..
http://foro.elhacker.net/desarrollo_web/que_lenguaje_aprendo-t377774.0.html + HTTP/S (para las cabeceras y todo eso xD)

PD: Yo siempre opino que uno deberia saber como funciona una web internamente para saber atacarla.. No se vale la ***** esa de aquí te pillo aquí te **** probando meter alert("XSS") hasta en los checkbox xD
Por eso es que quiero aprender  :xD No busco esto para andar defaceando, ni tumbando webs sin motivo.
Pregunto para poder buscar vulnerabilidades manualmente, porque como eh dicho no me gusta usar programas, quiero hacer las cosas por mi  ;D
Entonces retomare el estudio de PHP que deje en un muy básico nivel y mirare algo de ASP también.
Al igual que sobre HTTP/S

Citar
Python sirve para web también =)...

Python/Perl  - hay sitios que los utilizan en vez de PHP y sirven para armar buenos POC's.
Esto también lo pusiste en el otro post, es cierto yo utilizo Python con Pyramid y se logran hacer cosas interesantes  ::)

alist3r

Tu respuesta me ah puesto a reflexionar, ya que lo veo desde un punto diferente a lo habitual, mas psicologico o no se  :xD pero tienes razón, la curiosidad es una de las mejores herramientas que cuenta un verdadero hacker en mi opinión.

Citar
el dominio de las herramientas GNU es básico. usar solo windows te complica MUCHO la existenia en un proceso de security assessment. si dominas windows y un entorno GNU con todas sus herramientas (normalmente gnu/linux), mucho mejor. particularmente, el uso de las tan temidas pro todos RegExp, combinado con scripts en bash/python/perl y un par de herramientas GNU como wget o curl, puede resultar muy util a la hora de realizar valoraciones de seguridad relacionadas con la validacion de formularios, por ejemplo.
No es por tirarmela de güru de linux ni nada por el estilo pero, desde muy chico empese a utilizar distros GNU/Linux y a lo largo de mi vida me volvi un mini distrohopper  :xD asi que eso que mencionas ya lo tengo arraigado, nunca me senti comodo con windows y lo eh usado solo en casos necesarios, como cuando en la escuela nos enseñaron VB 6 y obligatoriamente tuve que tener un sistema windows.

Saludos y gracias por responder.
« Última modificación: 26 Enero 2013, 05:34 am por The_Mushrr00m » En línea

«No hay camino para la verdad, la verdad es el camino»

alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?
« Respuesta #5 en: 26 Enero 2013, 05:24 am »

ahh! jejejej! bárbaro, lo tuyo! que bueno que seas tan linuxero, pero como distrohopper espero que no te pierdas la esencia del core!
la potencia de GNU/linux, como dice siempre stallman, está en GNU, y es el dominio de sus pequeñas pero potentes herramientas el que nos da ese enorme poder para hacer tareas complejas en pocos pasos uniendo las piezas con scripts y tuberias.

bueno, y por ultimo creo que es logico mencionar que si te interesa la seguridad y buscar vulnerabilidades, lo mejor es que las encuentres y prevengas mientras tu mismo desarrollas la web: buenos hábitos de programación, no ser perezoso ni ansioso, comprobar y recontra re mil re comprobar las cosas, añadir vlidaciones y filtros y condiciones para atrapar la situación mas inverosimil e improbable, y

luego en terminos mas fisicos de la materia, como buen hacker que se precie, y como cualquier persona que desea hacer un buen trabajo, están los hábitos generales de productivdad: interrupciones deshabilitadas, enfocarse en ua sola tarea a la vez, nada de gilipolleces en el entorno de escritorio, ni colorines, ni applets con informacion inutil, desktop realstate despejado, colores tirando a oscuros y editor con fondo negro para no dañar la vista, silencio, tapones o musica suave y sin vocal, concentración y descanso regular (usando workrave para autoobligarte si es necesario)... y básicamente todo lo contrario de lo que hace la mayoria...

creo que me paso de largo del tema, no? jajajaja

PD: whatsappvoyeur.com la hemos hecho en python + PHP. aunque ahora mismo whatsapp nos ha vetado el acceso pero ya lo estamos tratando de "ladear"
« Última modificación: 26 Enero 2013, 05:26 am por alist3r » En línea

Back 2 business!
The_Mushrr00m

Desconectado Desconectado

Mensajes: 163


"Don't worry, be Hacked........"


Ver Perfil WWW
Re: Qué necesito saber para buscar vulnerabilidades manualmente en aplicaciones web?
« Respuesta #6 en: 26 Enero 2013, 05:33 am »

Citar
ahh! jejejej! bárbaro, lo tuyo! que bueno que seas tan linuxero, pero como distrohopper espero que no te pierdas la esencia del core!
Para nada, de hecho gracias a eso, pude encontrar al amor de mi vida en terminos Geek  :xD Chakra
Bueno creo que nos hemos salido un poco del tema original del post, dejare el tema abierto a posibles futuras opiniones y sugerencias.

Saludos..!
En línea

«No hay camino para la verdad, la verdad es el camino»

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿como buscar vulnerabilidades en software?
Bugs y Exploits
jopc 2 4,125 Último mensaje 7 Noviembre 2011, 03:54 am
por jopc
saber todos los paquetes que han sido instalados manualmente
GNU/Linux
[u]nsigned 1 1,925 Último mensaje 22 Marzo 2012, 19:57 pm
por mael0c
Ayuda:Antes de buscar vulnerabilidades y explotarlas
Bugs y Exploits
kurotenshi 4 4,152 Último mensaje 11 Mayo 2012, 12:27 pm
por young0320
necesito un programa para buscar dentro de una base de datos
Foro Libre
BK201 1 3,037 Último mensaje 21 Mayo 2012, 02:16 am
por m0rf
Solución de HP ayuda a identificar vulnerabilidades en aplicaciones web
Noticias
wolfbcn 0 2,352 Último mensaje 30 Abril 2013, 14:48 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines