Buenas noche gente.
Soy completamente novato, con pocos conocimientos por ahora y con muchas ganas de aprender pero sin tener ni idea de por donde empezar ;D
Mi objetivo es mirar de acceder a una base de datos de alguna web como la mayoria que son de PHP y ejecutan javascript inyectando codigo SQL
De todo esto tengo una pregunta que no se hasta que punto es cierto o una leyenda urbana.
Puedo trastear cualquier web para probar si aprendo correctamente, sin dejar rastro? o queda un rastro facilmente visible? esto me puede traer problemas? Hay alguna web para entrenar estas tecnicas?? si no, que tengo que tener en cuenta para poder hacer pruebas sin que se me echen bronca?
Que tutoriales recomendais para mi objetivo?? recomendais alguna herramienta??
Muchas gracias ;)
Sabes programar en php y hacer consultas en mySql? Sin eso poco vas a poder hacer. Empieza por lo basico.
Los ataques para hacerlos debes saber programación php y sobre todo como se realizan peticiónes en mysql y como trabaha uno con el otro, sin ello a ciegas y probando codigos no verás nada. Lo que se pretende es buscar errores en codigo y si no lo entiendes no vas a poder encontrar nada.
Hay gente que prueba XSS en páginas sin tener ni idea, ya que es copiar un codigo pequeño y apretar enter y te digo que con suerte encuentran algo, pero eso no sirve de nada.
Bienvenido, ya somos dos..
Testea con las típicas webs que no tienen futuro, utiliza algunas típicas dorks, búscalas en Internet si liberan algunas dorks, hoy en día en sí cómo esta la sociedad encontraras cualquier dork
Web Security Dojo.
Te lo montas en una máquina virtual, y a jugar:
http://www.mavensecurity.com/web_security_dojo/
Muchas gracias por vuestro apoyo ;)
Ahora me pongo a investigar esto que comentais, y ha aprender PHP y MySQL, esto que hay en muchas webs que suele haber codigo java en los procesos, tambien tendria que aprender java???
un saludo.
Cita de: hirulelink en 18 Octubre 2011, 02:41 AM
Muchas gracias por vuestro apoyo ;)
Ahora me pongo a investigar esto que comentais, y ha aprender PHP y MySQL, esto que hay en muchas webs que suele haber codigo java en los procesos, tambien tendria que aprender java???
un saludo.
Sí dices para las pruebas de
SQL Inyec. no, no te hace falta saber Java, simplemente
SQL, pero no lo utilices para joder al prójimo, úsalo para algo bueno.
SQL a mano es mucho mejor, aprendes más y te moverías aún más. Qué te lo haga un simple .exe es penoso, por ejemplo el Havij o webs.
Un saludo, muchísima suerte!
CitarSQL a mano es mucho mejor, aprendes más y te moverías aún más. Qué te lo haga un simple .exe es penoso, por ejemplo el Havij o webs.
Hay algunos tipos de bases de datos que para encontrar las tablas hay que hacerlo por fuerza bruta, a mí no me parece penoso usar ninguna herramienta mientras sepas lo que está haciendo y no eres un lammer que pulsa un botón, le sale una clave y no sabe ni de qué es.