Introducción al Hacking contra el Servidor Web

El hacking al servidor web es una parte de un universo mayor, conocido comúnmente como “hacking de red”. Para la mayoría de personas, esta es la primera área del hacking donde se está inmerso, en la cual también se incluyen la mayoría de las herramientas más conocidas a través de los diferentes medios.

Obviamente, ciertas herramientas y técnicas deben ser conocidas por todos los profesionales del área. El hacking de red hace uso de algunas de las herramientas de hacking actualmente más populares; como por ejemplo, Nmap, OpenVAS y Metasploit Framework. Por lo tanto para poder hacia técnicas de hacking más avanzadas, se necesita dominar las técnicas y herramientas.

Existe una gran cantidad de recursos y herramientas dedicados a todas estas herramientas, pero las cosas se tornan diferentes cuando se está evaluando específicamente un servidor web. Tradicionalmente el hacking de red sigue una metodología muy sistemática. Se realiza un reconocimiento, escaneo de puertos, escaneo de vulnerabilidades, y explotación mientras se evalúa un servidor web como cualquier servicio de red bajo ataque.

Para iniciar este proceso, se realizan acciones manuales como analizar el archivo de nombre “robots.txt” sobre el servidor web, para entender mejor cuales directorios no se desea sean incluidos en los resultados de los motores de búsqueda. Esto es una potencial hoja de ruta hacia información sensible dentro del servidor web, y es factible hacerlo desde la comodidad de un navegador web. También es factible utilizar herramientas específicas dedicadas a hacking al servidor web como Nikto. Aquí se aúnan sólidas herramientas y técnicas del tradicional hacking de red, lo cual permite tener una mejor perspectiva para realizar hacking al servidor web.

Fuentes:

https://nmap.org/
http://www.openvas.org/
https://github.com/rapid7/metasploit-framework
https://github.com/sullo/nikto
http://robotstxt.org/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1