Saltar al contenido
Blog de Tecnologia de Diego Torres

Cómo hackear un sitio


Uno de los temas más populares en los mensajes que recibo todos los días es el pirateo. Al entrar en más detalles, a muchas personas les gustaría aprender cómo hackear un sitio pero, como se puede imaginar fácilmente, no puedo proporcionar información demasiado detallada sobre un tema tan delicado y complejo.

En vista de esto, decidí crear un artículo en el que enumeraré algunas de las técnicas más utilizadas por los piratas informáticos para "pinchar" los sitios de Internet. No existen procedimientos paso a paso que puedan ser utilizados por los atacantes para violar los sitios de otras personas, pero al leerlos también puede tener una idea de cómo los piratas informáticos ellos hacen su "trabajo" y, por lo tanto, cómo protegerte, si administras un sitio web. ¡Feliz lectura!

Comencemos este excursus en cómo hackear un sitio hablando deSQL, un lenguaje de consulta de base de datos utilizado por muchos sitios de Internet y aplicaciones web. Algunos sitios usan una versión desactualizada de bases de datos SQL sujetas a una vulnerabilidad llamada Inyección SQL a través del cual es posible "perforar" la base de datos y acceder fácilmente a los datos de acceso del administrador.

Para averiguar si el sitio que se va a hackear tiene una base de datos vulnerable, este último primero debe tener una estructura de direcciones del tipo http://www.sito.com/pagina?id=numero (Ej. http://www.sitodahackerare.com/news/detail.php?id=201), por lo que debe conectarse y buscar enlaces con estas características. Una vez que se ha identificado la dirección correcta, se debe agregar una cotización antes del número de identificación (p. Ej. http://www.sitodahackerare.com/news/detail.php?id='201) y presione el botón presentar teclado en la PC. Si se devuelve el mensaje de error Tiene un error en su sintaxis SQL, tiene que ver con un sitio "holey".

Luego regrese al número de tablas contenidas en la base de datos, agregando la cadena ordenar por 1–, ordenar por 2–, ordenar por 3– etcétera a la dirección del sitio (hasta que aparezca un mensaje de error), sus tablas se unen y vuelve a la versión de la base de datos SQL con otra cadena que se agregará a la URL del sitio. Una vez que se detecta la versión de la base de datos en uso, se convierte en un juego de niños ver las tablas a partir de las cuales está formada y extrapolar los datos de acceso del administrador del sitio, que se guardan en la sección privilegios.

anuncio

Lo que acabo de mostrar es una de las técnicas más utilizadas para piratear un sitio PHP basado en la base de datos SQL, pero también hay otras técnicas de piratería que los atacantes utilizan para tomar posesión de los sitios de otras personas.

Por ejemplo, en sitios ASP vulnerable es posible obtener privilegios de administrador simplemente insertando cadenas de código dentro del formulario de inicio de sesión, así como para sitios en JPortal agregar una línea de código al final de la dirección en la barra del navegador puede ser suficiente para poder realizar un hack. Por otro lado, los sitios son más seguros. HTML incluso si pueden ser "perforados" por piratas informáticos experimentados explotando agujeros de seguridad FTP o vulnerabilidades similares a XSS.

Para acciones de demostración contra instituciones o sitios de compañías importantes, el ataque a menudo se adopta DDoS. Acrónimo de Denegación de servicio distribuida, este tipo de piratería informática consiste en sobrecargar los servidores de un sitio con una cantidad anormal de solicitudes de acceso (ejercidas por miles de computadoras distribuidas en todo el mundo) para hacer que se "colapse" y que sea inaccesible para Horas o días enteros. En resumen, no se puede decir que ningún sitio sea realmente seguro cuando se trata de ataques de piratas informáticos, pero si mantiene actualizada la estructura en la que se basan, los riesgos disminuyen considerablemente.

¿Quieres ver todos nuestros artículos? Mire esto: el segmento informativo o esta la categoría Más sobre Seguridad de la Información para otros contenidos.