Bueno en este post vamos a explicar breve mente como podemos realizar una auditoria a la seguridad de nuestra pagina web.esto con el fin de mejorar nuestra seguridad y no ser tan vulnerables a ataques y personas que quieran infiltrarse en nuestra pagina. para ello vamos a ser uso de dos programas los cuales son:
el programa Havij y el programa Webcruiser estos programas los pueden descargar de los siguientes links
Havij
http://www.mediafire.com/download/m25ciqx4871qcmv/Havij+1.15+Pro.rar
Webcruiser
http://sec4app.com/download.htm
una vez descargados nuestros programas empezamos por utilizar "webcruiser" este programa lo que se encarga de hacer es mostrarnos todas las vulnerabilidades de nuestra pagina web a la cual estamos auditando, buenos eso si las tiene porque como mencionaba al comienzo existen algunas paginas que tienen buena seguridad y no sera posible realizar esta prueba.
recomendación cuando entremos en la carpeta donde esta descargado nuestro programa y una vez extraidos los archivos o si ya viene descomprimido buscamos nuestro ejecutable y le damos click derecho y lo abrimos como administrador ya que algunas veces si le damos abrir normalmente nos arroja error eso es muy importante que lo tengan en cuenta.
listo una vez realizado esto nos aparecerá algo así:
lo que vamos hacer es ingresar la dirección de nuestra pagina a auditar en la barra de url. y procedemos a presionar la opción scanner. al realizar esto obtendremos esto.
por razones de etica hemos borrado la dirección de la pagina que estamos utilizando para nuestra prueba, uan vez hecho esto esperamos a que nuestro programa haga su trabajo, y transcurrido cierto tiempo nos mostrara que vulnerabilidades tiene nuestra pagina como veremos a continuación.
las vulnerabilidades que vamos a utilizar son las url injection como vemos a continuacion.
procedemos a abrir Havij y realizamos lo mismo que con el programa anterior. una vez abierto nuestro programa nos va a mostrar algo así:
lo que vamos a realizar en este paso es copiar nuestra dirección url que aparece en la imagen anterior de Webcruiser como lo hacemos, damos click derecho en la url y copiar. esta dirección la pegamos en la barra de direcciones de nuestro programa Havij. pero antes de dar click en analizar realizamos una configuración previa.
primero registramos nuestro programa
para esto lo que hacemos es dar click en register y nos aparecerán 2 barras una de nombre y la otra de file estos datos los encontramos en la carpeta de descarga de nuestro programa,
en el bloc de notas léeme. hay viene la explicación de este paso lo hacemos y listo registrar.
una vez registrado ingresamos a settings y configuraremos nuestro programa de la manera que muestro aquí.
habilitamos la opción union injection, y si tenemos conocimiento de como cambiar nuestro proxy para navegar ocultamente lo ingresamos en la opción proxy y procedemos a dar click en apply para guardar nuestros cambios y listo podemos proceder a darle analize para que nuestro programa empiece a vulnerar la seguridad de nuestra pagina.
vemos que ya nuestro programa empezo a revelarnos informacion de nuestra pagina. aqui vemos que nos muestra el nombre de la base de datos.
procedemos a darle click a tables y get tables para que nos muestre un menú de todas las opciones de nuestra base de datos.
como vemos nos despliega un menú con varias carpetas de nuestra base de datos. las cuales nos nuestran diferentes tipos de información pero en este tutorial lo que estamos buscando es ver si nuestra pagina es segura o no nos concentramos en conseguir su usuario y contraseña con lo que empezamos nuestra búsqueda que por lo general se encuentra con las palabras como passwords administrador o palabras que tengan que ver con contraseñas de usuario.
una vez que la encontramos la marcamos y damos click en en get columnas para que nos muestre las subcarpetas contiene esta carpeta. como vemos a continuación.
como vemos ya obtuvimos nuestra contraseña de usuario y su passwords con lo que hemos comprobado que nuestra pagina no tiene una seguridad optima.
bueno señores hemos aprendido como realizar auditoria de seguridad a nuestras paginas con estos sencillos programas pero de gran utilidad con respecto a nuestras pruebas de seguridad.
espero que los utilicen con responsabilidad y no lo hagan con fines de hacerle daño a nadie.
agradecemos a exidous por regalarnos el crack para nuestro programa Havij y a todos los que contribuyeron a enriquecer nuestro conocimiento acerca de la injection SQL.
hasta un nuevo post.
Excelente tutorial con este programa podemos ver que tan segura es nuestra pagina web
ResponderBorrar