El hacking al servidor web es una parte de un universo mayor, conocido comúnmente como “hacking de red”. Para la mayoría de personas, esta es la primera área del hacking donde se está inmerso, en la cual también se incluyen la mayoría de las herramientas más conocidas a través de los diferentes medios.

Las aplicaciones web pueden ser explotadas atacando vulnerabilidades bien conocidas. Aunque existen otras muchas vulnerabilidades relacionadas al ámbito web, algunas de estas deben ser consideradas como referencia fundamental.

Inyección

Algunas metodologías de ataque proporcionan el proceso, etapas, herramientas y técnicas a considerar como mejores prácticas. Si se es un profesional en el área, tales actividades son denominadas como pruebas de penetración “Penetration Testing”, en el cual se realizan las mismas actividades de los atacantes maliciosos. Existen dos metodologías para pruebas de penetración ampliamente aceptadas actualmente, Open Source Security Testing Methodology Manual (OSSTMM), y Penetration Testing Execution Standad (PTES).

Otro interesante tema para los atacantes maliciosos, es el hecho de las aplicaciones web interactúan con virtualmente todos los sistemas centrales de la infraestructura dentro de una empresa. Es común pensar la aplicación web es sólo código el cual se ejecuta sobre un servidor web, escondido de manera segura en una DMZ, incapaz de causar daños internos graves a la empresa.

Este enfoque sobre los fundamentos del hacking web esta constituido de cuatro fases, las cuales abarcan todas las tareas necesarias a realizar durante un ataque; reconocimiento, escaneo, explotación, y arreglos. Es apropiado presentar y discutir como estas vulnerabilidades y ataques pueden ser mitigadas, es por ello la inclusión de una fase para los arreglos. Como un profesional en pruebas de penetración o hacking ético, se tienen muchas preguntas después de los hechos, sobre como solucionar o arreglar las vulnerabilidades descubiertas.

HTTP es un proceso acordado para interactuar y comunicarse con una aplicación web. Es un protocolo completamente en texto plano, por lo cual no se asume la existencia de seguridad o privacidad cuando se utiliza HTTP. Actualmente HTTP es un protocolo sin estado, de tal manera cada petición del cliente y respuesta de la aplicación web, es un evento nuevo e independiente, sin conocimiento previo de ninguna petición.

Un servidor web es sólo una parte del software ejecutándose sobre el sistema operativo de un servidor, el cual permite conexiones para acceder hacia la aplicación web. Los servidores web más comunes son Internet Information Services (IIS) sobre un servidor Windows, y Apache HTTP sobre un servidor GNU/Linux. Los servidores tienen una estructura de directorios normal como en cualquier otra computadora, y estos directorios hospedan la aplicación web.

El termino “aplicación web” tiene diferentes significados para diferentes personas, dependiendo con quien se hable y el contexto. Diferentes personas podrían utilizar términos como aplicación web, sitio web, sistema basado en web, software basado en web, o simplemente Web, y todos pueden tener el mismo significado. La amplia adopción de las aplicaciones web actualmente lo hace difícil para diferenciarla claramente de generaciones previas de sitios web, los cuales sirven páginas HTML no interactivas estáticas.

Existe mucho a abarcar antes de empezar a utilizar herramientas específicas, además de como configurar y ejecutarlas para cumplir los requerimientos para la explotación de aplicaciones web. Para tener un sólido fundamento son necesarios muchos años de práctica, estos son principios fundamentales los cuales se necesitan completamente entender y comprender. Estos fundamentos incluyen material relacionado a la mayoría de vulnerabilidades comunes, las cuales continúan plagando la web, aunque incluso algunos de ellos han estado allí por años.

Es suficientemente bueno si se está en la misma red local del sistema objetivo de evaluación, pero ¿Si el sistema objetivo de evaluación es remoto?. Si se tiene una sesión con Meterpreter obtenida a través de un código de explotación “exploit”, se puede proceder a registrar o grabar remotamente el tráfico de la red correspondiente al sistema objetivo de evaluación.

La siguiente demostración inicia con una sesión de Meterpreter activa obtenida mediante algún código de explotación. Como se puede visualizar la sesión obtenida tiene asignado el número 1.