Es correcto usar Acunetix externamente?

Iniciado por Trake0, 3 Mayo 2010, 17:59 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Trake0

3 Mayo 2010, 17:59 PM
Buenas! Lo primero, decir que estoy encantado de estar en el foro, y espero aprender mucho con vosotros.

Hace poco que he comenzado con la seguridad web, aunque llevo bastante tiempo montando webs php, html, etc...

He estado leyendo muchos de vuestros post, y alguno de ellos me he topado con "Acunetix", y dada su utilidad, supongo que me ayudaría a potenciar mis conocimientos si lo usara. La pregunta es, si es "legal" o "correcto" escanear una web para observar alguna vulnerabilidad, y reportarla. Espero que no me tachéis de "novato-hacker-defaceador-estúpido" xD porque no pretendo descubrir vulnerabilidades para explotarlas o defacearlas, sino para reportarlas, aprender de los errores observados, y ponerlos en práctica, solucionándolos en mis sitios webs.

Agradecería enormemente que me comentárais algo sobre esto, ya que ando un poco perdido, y me da miedo hacer cosas, que tengan consecuencias desastrosas... :S

Muchas gracias a todos de antemano!! :D

Saludos!

el-brujo

#1
3 Mayo 2010, 18:34 PM
si... es legal y puedes usarlo. Aunque deja muchos rastros y si el admin logea alertas y demás deja muchos logs pero no pasa nada.

Pero si sale alguna vulnerabilidad en el Acunetix no la reportes a no ser que estés muy seguro que es explotable. Muchas son alertas, información y poco más. Con la experiencia aprenderás cuando es realmente un fallo gordo y cuándo no.

Trake0

#2
3 Mayo 2010, 19:04 PM
Cita de: el-brujo en  3 Mayo 2010, 18:34 PM
si... es legal y puedes usarlo. Aunque deja muchos rastros y si el admin logea alertas y demás deja muchos logs pero no pasa nada.

Pero si sale alguna vulnerabilidad en el Acunetix no la reportes a no ser que estés muy seguro que es explotable. Muchas son alertas, información y poco más. Con la experiencia aprenderás cuando es realmente un fallo gordo y cuándo no.

Muchas gracias y muy amable ;D

La Muertع Blancα

#3
3 Mayo 2010, 19:47 PM
Perdon por entrometerme, Acunetix te dice como reparar la falla o solo alerta del bug?
iluckycatcher
«lo único necesario para el triunfo del mal es que los buenos no hagan nada», Edmund BurkeLinuxyCuriosidades.tk

WHK

#4
3 Mayo 2010, 20:13 PM
no se como sea pero supongo que debe ser muy similar al sss.

Si quieres aprender seguridad a nivel WEB te recomiendo que aprendas el lenguaje de programación WEB para que puedas comprender cada falla y como independizarte de los escaneaores.

Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html

Trake0

#5
3 Mayo 2010, 22:47 PM
Cita de: WHK en  3 Mayo 2010, 20:13 PM
no se como sea pero supongo que debe ser muy similar al sss.

Si quieres aprender seguridad a nivel WEB te recomiendo que aprendas el lenguaje de programación WEB para que puedas comprender cada falla y como independizarte de los escaneaores.

Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html

Creo que si es muy parecido. Este te muestra las fallas o bugs en webs, eso creo, porque estoy todavía probándolo...

Por cierto, está muy bien tu post WHK! Lo leí antes de iniciar este post.

Gracias ;D

Darioxhcx

#6
3 Mayo 2010, 22:50 PM
seee.. hai 3 tipos de vulnerabilidades que varian segun el nivel
tiene un crawler buenisimo...
y con lo de los links , te reporta x ejemplo SQL injection  asi
rojo > archivo > get > pagina donde haya informacion sobre la vuln
en si  te termina mandando  security focus u alguna q otra...

pero no solo te podes centrar en acunetix , podrias mirar nmap , nessus y otros scanenrs tambien...
saludo

fede_cp

#7
3 Mayo 2010, 23:48 PM
Hablando en otros térmminos, el acuentix es muy buen programa, uno de los más completos. Pero sin embargo, el humano yo creo que es irreemplazable. pongo un ejemplo claro:

En un xss de nivel medio, osea no tipico "><script>, sino mas completo como por ejemplo saltarse alguna que otra expresión regular, el humano prueba, y con el resultado, actua de una manera u otra, en cambio los automatizadores lo que hacen es automatizar las acciones, y no es tan efectivo como el humano puede entender las cosas.

igualmente para aprender yo creo que "a mano", es mejor y mas divertido...  :D.


mi opinion!


saludos
somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!

La Muertع Blancα

#8
4 Mayo 2010, 15:36 PM
Cita de: WHK en  3 Mayo 2010, 20:13 PM
Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html
Ya lo estoy haciendo, gracias ^^

Tengo el SSS solo queria saber si era parecido, mejor o peor respecto a lo que te ofrece.
Claro está a mano es mejor para aprender ^^

Gracias y saludos,
iluckycatcher
«lo único necesario para el triunfo del mal es que los buenos no hagan nada», Edmund BurkeLinuxyCuriosidades.tk
Imprimir
Ir Arriba Páginas1
Acciones del Usuario