Es correcto usar Acunetix externamente?

Iniciado por Trake0, 3 Mayo 2010, 17:59 PM

0 Miembros y 1 Visitante están viendo este tema.

Trake0

Buenas! Lo primero, decir que estoy encantado de estar en el foro, y espero aprender mucho con vosotros.

Hace poco que he comenzado con la seguridad web, aunque llevo bastante tiempo montando webs php, html, etc...

He estado leyendo muchos de vuestros post, y alguno de ellos me he topado con "Acunetix", y dada su utilidad, supongo que me ayudaría a potenciar mis conocimientos si lo usara. La pregunta es, si es "legal" o "correcto" escanear una web para observar alguna vulnerabilidad, y reportarla. Espero que no me tachéis de "novato-hacker-defaceador-estúpido" xD porque no pretendo descubrir vulnerabilidades para explotarlas o defacearlas, sino para reportarlas, aprender de los errores observados, y ponerlos en práctica, solucionándolos en mis sitios webs.

Agradecería enormemente que me comentárais algo sobre esto, ya que ando un poco perdido, y me da miedo hacer cosas, que tengan consecuencias desastrosas... :S

Muchas gracias a todos de antemano!! :D

Saludos!

el-brujo

si... es legal y puedes usarlo. Aunque deja muchos rastros y si el admin logea alertas y demás deja muchos logs pero no pasa nada.

Pero si sale alguna vulnerabilidad en el Acunetix no la reportes a no ser que estés muy seguro que es explotable. Muchas son alertas, información y poco más. Con la experiencia aprenderás cuando es realmente un fallo gordo y cuándo no.

Trake0

Cita de: el-brujo en  3 Mayo 2010, 18:34 PM
si... es legal y puedes usarlo. Aunque deja muchos rastros y si el admin logea alertas y demás deja muchos logs pero no pasa nada.

Pero si sale alguna vulnerabilidad en el Acunetix no la reportes a no ser que estés muy seguro que es explotable. Muchas son alertas, información y poco más. Con la experiencia aprenderás cuando es realmente un fallo gordo y cuándo no.

Muchas gracias y muy amable ;D

La Muertع Blancα

Perdon por entrometerme, Acunetix te dice como reparar la falla o solo alerta del bug?
iluckycatcher
«lo único necesario para el triunfo del mal es que los buenos no hagan nada», Edmund BurkeLinuxyCuriosidades.tk

WHK

no se como sea pero supongo que debe ser muy similar al sss.

Si quieres aprender seguridad a nivel WEB te recomiendo que aprendas el lenguaje de programación WEB para que puedas comprender cada falla y como independizarte de los escaneaores.

Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html

Trake0

Cita de: WHK en  3 Mayo 2010, 20:13 PM
no se como sea pero supongo que debe ser muy similar al sss.

Si quieres aprender seguridad a nivel WEB te recomiendo que aprendas el lenguaje de programación WEB para que puedas comprender cada falla y como independizarte de los escaneaores.

Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html

Creo que si es muy parecido. Este te muestra las fallas o bugs en webs, eso creo, porque estoy todavía probándolo...

Por cierto, está muy bien tu post WHK! Lo leí antes de iniciar este post.

Gracias ;D

Darioxhcx

seee.. hai 3 tipos de vulnerabilidades que varian segun el nivel
tiene un crawler buenisimo...
y con lo de los links , te reporta x ejemplo SQL injection  asi
rojo > archivo > get > pagina donde haya informacion sobre la vuln
en si  te termina mandando  security focus u alguna q otra...

pero no solo te podes centrar en acunetix , podrias mirar nmap , nessus y otros scanenrs tambien...
saludo

fede_cp

Hablando en otros térmminos, el acuentix es muy buen programa, uno de los más completos. Pero sin embargo, el humano yo creo que es irreemplazable. pongo un ejemplo claro:

En un xss de nivel medio, osea no tipico "><script>, sino mas completo como por ejemplo saltarse alguna que otra expresión regular, el humano prueba, y con el resultado, actua de una manera u otra, en cambio los automatizadores lo que hacen es automatizar las acciones, y no es tan efectivo como el humano puede entender las cosas.

igualmente para aprender yo creo que "a mano", es mejor y mas divertido...  :D.


mi opinion!


saludos
somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!

La Muertع Blancα

Cita de: WHK en  3 Mayo 2010, 20:13 PM
Date una vuelta por acá:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html
Ya lo estoy haciendo, gracias ^^

Tengo el SSS solo queria saber si era parecido, mejor o peor respecto a lo que te ofrece.
Claro está a mano es mejor para aprender ^^

Gracias y saludos,
iluckycatcher
«lo único necesario para el triunfo del mal es que los buenos no hagan nada», Edmund BurkeLinuxyCuriosidades.tk