Buenas! Lo primero, decir que estoy encantado de estar en el foro, y espero aprender mucho con vosotros.
Hace poco que he comenzado con la seguridad web, aunque llevo bastante tiempo montando webs php, html, etc...
He estado leyendo muchos de vuestros post, y alguno de ellos me he topado con "Acunetix", y dada su utilidad, supongo que me ayudaría a potenciar mis conocimientos si lo usara. La pregunta es, si es "legal" o "correcto" escanear una web para observar alguna vulnerabilidad, y reportarla. Espero que no me tachéis de "novato-hacker-defaceador-estúpido" xD porque no pretendo descubrir vulnerabilidades para explotarlas o defacearlas, sino para reportarlas, aprender de los errores observados, y ponerlos en práctica, solucionándolos en mis sitios webs.
Agradecería enormemente que me comentárais algo sobre esto, ya que ando un poco perdido, y me da miedo hacer cosas, que tengan consecuencias desastrosas... :S
Muchas gracias a todos de antemano!! :D
Saludos!
si... es legal y puedes usarlo. Aunque deja muchos rastros y si el admin logea alertas y demás deja muchos logs pero no pasa nada.
Pero si sale alguna vulnerabilidad en el Acunetix no la reportes a no ser que estés muy seguro que es explotable. Muchas son alertas, información y poco más. Con la experiencia aprenderás cuando es realmente un fallo gordo y cuándo no.
Cita de: el-brujo en 3 Mayo 2010, 18:34 PM
si... es legal y puedes usarlo. Aunque deja muchos rastros y si el admin logea alertas y demás deja muchos logs pero no pasa nada.
Pero si sale alguna vulnerabilidad en el Acunetix no la reportes a no ser que estés muy seguro que es explotable. Muchas son alertas, información y poco más. Con la experiencia aprenderás cuando es realmente un fallo gordo y cuándo no.
Muchas gracias y muy amable ;D
Perdon por entrometerme, Acunetix te dice como reparar la falla o solo alerta del bug?
no se como sea pero supongo que debe ser muy similar al sss.
Si quieres aprender seguridad a nivel WEB te recomiendo que aprendas el lenguaje de programación WEB para que puedas comprender cada falla y como independizarte de los escaneaores.
Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html
Cita de: WHK en 3 Mayo 2010, 20:13 PM
no se como sea pero supongo que debe ser muy similar al sss.
Si quieres aprender seguridad a nivel WEB te recomiendo que aprendas el lenguaje de programación WEB para que puedas comprender cada falla y como independizarte de los escaneaores.
Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html
Creo que si es muy parecido. Este te muestra las fallas o bugs en webs, eso creo, porque estoy todavía probándolo...
Por cierto, está muy bien tu post WHK! Lo leí antes de iniciar este post.
Gracias ;D
seee.. hai 3 tipos de vulnerabilidades que varian segun el nivel
tiene un crawler buenisimo...
y con lo de los links , te reporta x ejemplo SQL injection asi
rojo > archivo > get > pagina donde haya informacion sobre la vuln
en si te termina mandando security focus u alguna q otra...
pero no solo te podes centrar en acunetix , podrias mirar nmap , nessus y otros scanenrs tambien...
saludo
Hablando en otros térmminos, el acuentix es muy buen programa, uno de los más completos. Pero sin embargo, el humano yo creo que es irreemplazable. pongo un ejemplo claro:
En un xss de nivel medio, osea no tipico "><script>, sino mas completo como por ejemplo saltarse alguna que otra expresión regular, el humano prueba, y con el resultado, actua de una manera u otra, en cambio los automatizadores lo que hacen es automatizar las acciones, y no es tan efectivo como el humano puede entender las cosas.
igualmente para aprender yo creo que "a mano", es mejor y mas divertido... :D.
mi opinion!
saludos
Cita de: WHK en 3 Mayo 2010, 20:13 PM
Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html
Ya lo estoy haciendo, gracias ^^
Tengo el SSS solo queria saber si era parecido, mejor o peor respecto a lo que te ofrece.
Claro está a mano es mejor para aprender ^^
Gracias y saludos,