“¿Cómo exploto las vulnerabilidades en un sitio web / sistema?”
Bueno, el primer problema que debe resolver es qué vulnerabilidades ha encontrado. Si no ha encontrado una vulnerabilidad real, deberá hacerlo antes de explotarla. Suponiendo que es un sistema muy bien organizado que no puede descifrar, tendrá que adoptar un enfoque diferente, como la ingeniería social, el phishing de IE y el envío de ejecutables troyanos a través de la dirección falsa del remitente, etc.
Suponiendo que este sistema NO ES impenetrable (normalmente el caso), primero lo evaluaría usando escáneres de vulnerabilidad o incluso mejor a través de prueba y error a través de técnicas de prueba que puede conocer o no, como probar parámetros de inyección SQL o secuencias de comandos de sitios cruzados, inyección de comandos Etc.
- ¿En qué campo debo hacer carrera, desarrollo web o seguridad cibernética?
- ¿Roblox le dará un virus a mi computadora?
- ¿Qué software antivirus proporciona la mejor seguridad de Internet?
- ¿Qué compañía es mejor para los servicios de pruebas de penetración?
- Voy a la universidad pronto por seguridad cibernética. No tengo conocimientos sobre programación, piratería, etc. ¿Dónde puedo aprender todos los conceptos básicos desde el principio?
Por lo general, cuando voy a hackear no tengo mucha suerte con las pruebas de tales fallas del sistema debido a la naturaleza de cómo aprendí a hackear. Muchos miembros del personal de seguridad tienen suerte con esto, por lo que no los descartaría, pero son los más comúnmente parcheados y conocidos, por lo que generalmente serán más difíciles de explotar.
Con lo que he tenido mucho éxito en el pasado es simplemente explorar un sitio web, guardar mi software prediseñado favorito y jugar. He visto fallas tales como que cada contraseña se basa en el número de una tarjeta de acceso de seguridad que comienza con un parámetro como la fecha 22617xxxx (26 de febrero de 2017) y luego tal vez como un código aleatorio de cuatro dígitos que podría ser fácilmente forzado, lo que permite a la víctima para ser pwned.
La moraleja de la historia es explorar el sitio, no esperes que suceda de la noche a la mañana es un trabajo duro amigo. Incluso los hackers de sombrero negro más ricos no ganaban mucho dinero si lo miraran por cuánto ganaban por hora toda su vida.
Explore el sitio web o las diversas funciones del sistema y vea si puede encontrar dónde se deslizaron los administradores de Sys. He visto a algunos administradores del sistema configurar un software muy seguro y bien hecho de una manera que hizo que todas las contramedidas de seguridad y cibernéticas fueran inútiles después de mucho tiempo y dinero gastado.
Happy Hacking!