Como Hacer Un Ataque de SQL Injection

Introducción

En el post que verás a continuación, te mostraremos como puedes realizar un ataque de tipo SQL Injection.

Si no tienes ninguna experiencia en cuanto a la programación, tengo una publicación que te puede ayudar a iniciarte, y te puede ayudar a empezar a programar.

PHP es un excelente lenguaje de programación, y a día de hoy si nos utilizamos de frameworks como Laravel es mucho más seguro que escribir código puro, y luego ejecutarlo. Aún así, en mi post donde expliqué la importancia de la seguridad de código, hice referencia a algunos enlaces que pueden ayudar a los principiantes a mejorar su seguridad en este lenguaje de programación.

¿Que es un ataque de SQL Injection? 

Muchas de las páginas escritas en el lenguaje de PHP tienen ciertos fallos de permiso, lo que permite a un atacante malicioso ejecutar código dentro de la aplicación, y eventualmente acceder a permisos que no debería.

El método en el que ejecutaremos este ataque será a través de un método conocido como “POST”. Esto permite que ejecutemos el código SQL para accesar a la base de datos.

Un básico conocimiento sobre SQL te puede ayudar mucho a la hora de hacer un ataque de inyección SQL. Es cierto que existen herramientas que facilitan este proceso, como un programa llamado “SQLMap”, el cual está escrito en Python.

Como Penetrar La Vulnerabilidad

Es importante mencionar que haremos uso de una aplicación llamada “bWAPP”, la cual sirve para hacer tests de penetración con el propósito de aprender más sobre el Hacking Ético. Esta aplicación es parecida a “DVWA” por sus siglas en inglés “Damn Vulnerable Web Application”.

La buena noticia es que estas aplicaciones que pueden ser instaladas tanto en Linux como en Windows se instalan en nuestro localhost (127.0.0.1), lo que significa que todo lo que hagamos en nuestra dirección local es completamente legal y no tiene ningunas consecuencias ya que parcialmente estamos atacándonos a nosotros mismos con el único fin de mejorar la seguridad.

Aplicaciones Para llevar a Cabo El Ataque

Otra aplicación que utilizaremos será un modificador de solicitudes. Esto se utiliza muchas veces para modificar una solicitud hacia un servidor, es utilizado comúnmente a la hora de hacer tests de penetración. Se utiliza con el fin de engañar al receptor a última hora de que esta recibiendo.

Muchas veces el receptor no acepta códigos de lenguajes programación, la razón de esto es por que se puede utilizar para mal, como por ejemplo, para robar información de un sistema, o de una página. Existen diferentes extensiones para hacer esto. En este caso, con el propósito de educar sobre esta vulnerabilidad y de como explotarla nos utilizaremos de un programa llamado “Burp Suite”, el cual sirve como un modificador de solicitudes.

Es un proxy que se configura, normalmente en el navegador de Firefox ya que es más fácil configurar un proxy en el navegador de Firefox. Alternativamente puedes instalar “Tamper data” para Firefox, y de esa manera no tendrás que configurar ningún proxy. Lo que posiblemente te resulte más fácil.

Continue reading Como Hacer Un Ataque de SQL Injection

Troyano vs Backdoor – ¿Cual Es La Diferencia?

Introducción

Muchas veces asociamos un backdoor, o puerta trasera con un troyano. De hecho, es muy común confundir estas 2 cosas si se está empezando en el campo de la seguridad. Aunque los dos puedan ser altamente peligrosos, hay algunas pequeñas diferencias entre estos.

Recuerdo que en mis comienzos confundía estas dos cosas y pensaba que eran lo mismo, hasta que me di cuenta de que no era así. Aun así, no es completamente erroneo decir que un troyano sea un backdoor, pero para familiarisarnos más con los términos de los diferentes tipos de malware, vamos a proceder a explicar las diferencias ahora.

Troyano vs Backdoor

Muchas veces, los troyanos vienen con algo que se llama backdoor. Cuando utilizamos el término troyano, nos solemos referir a un programa. Un programa malicioso, cuyo propósito es el espionaje.

Para aclarar esto más, un backdoor se utiliza para conceder el permiso a un sistema. Por ejemplo, un backdoor puede darle a su remitente privilegios de administrador en un sistema operativo.

Diferencias y Igualdades

Hay veces las cuales los cortafuegos fallan con la tarea de prevenir este tipo de intrusiones en el sistema. Un programa backdoor contacta con el remitente una vez haya infectado la máquina, por esto, muchas veces se liga el término de troyano con backdoor.

Los troyanos y los backdoors tienen algo en común. Es mandarle información de la máquina infectada del receptor al que controla esto. Un ejemplo donde pueden haber backdoors son botnets especializadas para hacer que la máquina de los infectados realizen acciones que normalmente no están autorizadas por el sistema.

Continue reading Troyano vs Backdoor – ¿Cual Es La Diferencia?

¿Cómo instalar Kali Linux sobre VMware?

Introducción

El día de hoy en sechurci te enseñaremos como puedes instalar Kali Linux, con el propósito de hacer el Hacking Ético. El Hacking Ético puede sernos muy útil para la penetración de los sistemas operativos y páginas web, esto es conocido como el pentesting, o penetration testing. O en español, test de penetración. Siempre hay demanda para la habilidad de Hacking.

Tipos de Hackers

Existen varios tipos de Hacking, tales como el Ético, conocido como White Hat, Black Hat, y Grey Hat. Los White Hat Hackers o los Hackers de sombrero blanco realizan sus penetraciones con el propósito de aumentar la seguridad en un sistema.

El Hacker de sombrero negro hace exactamente lo contrario, y como ya habrás probablemente adivinado, los de sombrero gris están en el medio. Una vez aclarado esto, comenzaremos con la instalación de este sistema operativo que te ayudará en el Hacking Ético.

Instalación

Instalar Kali Linux no es complicado si se sabe lo que esta haciendo. Si sabes como utilizar una terminal de Linux, entonces esto será mucho más fácil para ti de instalar. La instalación que muestro de Kali Linux es una instalación que es por terminal, aunque tengas que escribir poco.

Para instalar este sistema operativo contamos con un programa que nos permite ejecutar sistemas operativos virtualmente sin instalarlos. El nombre de este programa se llama VMware, y hay una versión gratis de este programa para instalar máquinas virtuales.

Continue reading ¿Cómo instalar Kali Linux sobre VMware?

Como Entrar a La Deep Web

Introducción

Antes de comenzar con este post, queremos desmentir algunos mitos que hay de la Deep Web. A parte de esto, también te explicaremos como puedes entrar a la misma.

Mitos de la Deep Web

Seguramente hayas escuchado varios mitos de la Deep Web. Como por ejemplo de que hay Hackers malvados que están interesados en hackearte. Sin embargo, esto es una mentira muy grande, y no hay por que temerle el entrar a la Deep Web.

Es cierto que hay páginas que ofrecen servicios de Hacing, pero siempre y cuando naveges con cuidado y no rentes ningún servicio de Hacking por ejemplo no tienes por que preocuparte.

En general, no debes de temer si entras a la deep web. También existe el famoso mito de que la Deep Web está compuesta por “niveles” y entre más profundo entres más peligroso. Aún así esto no es más que otro mito. Pero aquí se te mostrará como puedes entrar a la Web Profunda si eres completamente nuevo.

Cómo entrar

Hay varias formas de entrar a la Deep web, y en el vídeo que verás a continuación se te mostrarán 2 maneras que puedes utilizar para entrar al a Deep web.

Al utilizarnos de un programa llamado Freenet podemos entrar a lo que se conoce como la Deep Web. Se dice que la Freenet tiene más contenido que el navegador Tor, otro navegador que también sirve para entrar en la red profunda.

Se recomienda tener instalado Java para que facilite la instalación de Freenet pero no es estrictamente necesario. La instalación de Tor Browser sin embargo, es mucho más sencilla.

Continue reading Como Entrar a La Deep Web

¿Cómo Descargar Vídeos de YouTube?

¿Quieres saber como puedes descargar vídeos de YouTube? En este vídeo que hemos hecho, te mostramos como puedes descargar vídeos de YouTube utilizando una extensión que es compatible con la mayoría de los navegadores.

Lo Que Necesitas

Lo bueno es que una vez que esté instalado, solo requiere de un click sobre el vídeo que quieras descargar y se te descargará. También tienes la alternativa de copiar y pegar el enlace del vídeo y descargarlo de esa manera, pero al final del día, lo más rentable es descargar la extensión. Visita nuestro canal y aprende más sobre como funciona esta extensión. Este vídeo te puede servir de mucho.

Continue reading ¿Cómo Descargar Vídeos de YouTube?

¿Cómo crear una contraseña segura?

Introducción

A la hora de crear una contraseña para un sitio web, podemos considerar mantenerla segura para prevenir a script-kiddies de atacarnos por medios de ataque de fuerza bruta.

Determinando La Seguridad

Hay páginas las cuales determinan la seguridad de nuestras contraseñas y determinan si deberíamos usarla, pero aún así no nos debemos de guiar por solo una fuente.

Menciono esto por que existen diversas páginas para crear una contraseña segura y comprobar la seguridad de una contraseña y al fiarnos de una sola fuente seguimos siendo expuestos a un ataque de fuerza bruta. Pero, ¿Cómo funciona esto, y por qué estamos tan expuestos? Un ataque de fuerza bruta se realiza utilizando un diccionario de palabras hasta dar con la contraseña del blanco.

Una contraseña segura puede ayudarnos a la hora de que alguien desee hacerle un pentest, o test de penetración a nuestras cuentas online. Aún así, podemos probar la seguridad de nuestras contraseñas manualmente también, como se haría en el Hacking Ético. Este post sobretodo se centrará en la creación de una mejor seguridad.

¿Como Saber Si Mi Contraseña Es Segura?

No hace falta decir que la págna https://howsecureismypassword.net/ puede servirnos como una gran herramienta a la hora de elegir una contraseña para un sitio el cual utilizamos frecuentemente.

A parte de esto, crear varias contraseñas para cada sitio web que utilizamos. Pero, ¿Cómo haríamos para recordar las contraseñas? ¿Acaso no tendríamos que escribirlas en el bloc de notas de Windows o en el TextEditor de Linux u otro editor de texto para anotarlas y recordarlas? Esto no es realmente necesario. Hay una herramienta muy poderosa llamada “LastPass”, que es ni más ni menos que una extensión, compatible con Chrome, Firefox y los navegadores más comunes. Se utiliza para almacenar nuestras contraseñas complejas.

Solamente tendremos que tener la contraseña una vez, y ya la extensión guardará la contraseña por nosotros y la auto completará en el campo de la clave la próxima vez que queramos iniciar sesión en equis sitio web.

Tips para protegerse online

LastPass es muy similar a la función de guardar la contraseña en nuestros navegadores, pero la ventaja es que en LastPass necesita un usuario y contraseña, que sería el único que realmente tendríamos que recordar para iniciar sesión en otros sitios.

La extensión es completamente gratuita, aún así existe una versión premium que es de un dolar, la cual tiene unas funcionalidades extra. Si realmente nos tomamos en serio nuestra seguridad tal vez deberíamos considerar instalar esta extensión.

Una ventaja que tiene la extensión es que nos da la opción de crear una contraseña segura para nosotros, una contraseña generada que es única, con letras mayúsculas mezcladas con letras minúsculas, números y signos.

Continue reading ¿Cómo crear una contraseña segura?

Como Renombrar wp-login.php

Introducción

Cuando tenemos un blog, especialmente en WordPress, queremos protegerlo de ataques informáticos. Un vector muy común que utilizan los script-kiddies para atacar los sitios web ajenos de WordPress, es el típico “wp-login.php”. Sobretodo, un ataque muy conocido por estos script-kiddies es el famoso ataque de fuerza bruta.

Pero ¿En qué consiste el ataque de fuerza bruta? Tratar de forzar el acceso a travéz de un diccionario, probando diferentes palabras para ver si coincide con la contraseña. Lamentablemente a la hora de instalar WordPress no siempre se cubre la importancia de la seguridad, de igual manera, cuando enseñan a programar casi nunca enseñan como protegerse.

Renombrar wp-login.php

En este post cubriremos como protegerse de ataques de este tipo. Claro está que no hay página que esté segura pero tomando estas medidas podémos aumentar la seguridad de nuestra página.

Como hemos mencionado, tanto la seguridad de un código debe ser considerada, de igual manera deberá de ser considerada la seguridad de una plataforma para facilitar la creación de páginas web como WordPress.

Aparte de existir plugins que dificultan los ataques de fuerza bruta, hoy nos centraremos en el de renombrar el nombre de la página de inicio de sesión. En un post cubrimos como se podía instalar WordPress y como iniciarse, sin embargo no cubrimos la importancia de asegurar el sitio.

Muchos de nuestros post se centran en la seguridad, como es un aspecto muchas veces ignorado en el mundo de la tecnología. He aquí un vídeo que hicimos.

Continue reading Como Renombrar wp-login.php

Como Instalar WordPress

Introducción

Hoy, en Sechurci te enseñaremos como instalar WordPress! ¿Te gustaría empezar tu blog en WordPress pero no sabes como instalarlo? Nosotros te podemos ayudar.

Debajo de este post te mandamos un enlace a un vídeo que realizamos de como instalar WordPress. Pero antes que nada, es importante tener XAMPP o WAMP instalado, si es que lo quieres instalar en tu ordenador local para empezar.

Instalación

Instalar WordPress puede ser un proceso algo tedioso para los nuevos en el tema de crear un blog con el mismo, pero nosotros te ayudamos a iniciarte al enseñarte como puedes instalar WordPress en tu maquina local.

Este tutorial es aplicado para las maquinas que corren el sistema operativo de Windows. En caso de que estés utilizando Linux, el proceso es muy similar, pero lo que principalmente diferencia el proceso es que en Linux se utiliza el LAMP o Apache, y el proceso de instalación puede ser un poco diferente a el de Windows.

WordPress es una plataforma muy popular a la hora de crear blogs. Puede ser una gran oportunidad para muchos de crear sus negocios por internet. Muchas de las páginas hoy en día utilizan esta poderosa plataforma para escribir en sus blogs.

Y si ellos pueden hacerlo ¿Por que no tú también? Además de ser gratis, brinda una gran posibilidad de crear sitios muy bien diseñados con diferentes plantillas.

He aquí el vídeo que te mostrará como puedes hacer para instalar WordPress en tu ordenador.

He aquí el vídeo que te mostrará como puedes hacer para instalar WordPress en tu ordenador.

Continue reading Como Instalar WordPress

Como aprender a Programar

Sobre La Programación

Puede que hayas escuchado que aprender a programar es difícil, pero con este post te mostraremos que ese no es el caso. Aprender a programar no tiene por que ser algo difícil, pero tal vez no podamos decir lo mismo cuando vayamos más profundo. Según nuestras experiencias, aprender a programar es de las cosas más fáciles que hemos podido aprender…

Donde Empezar

¿Por donde se puede empezar? Existen varias páginas para aprender a programar gratuitamente. Una de estas páginas es codeacademy y khan academy. Creando una cuenta en estas páginas ya es suficiente para poder explorar los diferentes cursos que hay. Cuando se empieza a programar siempre recomiendo aprender un lenguaje de programación web, y luego si te interesa más el tema, adentrarte con aplicaciones de escritorio o aplicaciones móviles.

Analizando la popularidad en el mercado, y según mi perspectiva, lo más apropiado sería aprender a programar en el siguiente orden: Primero los lenguajes de programación web, y luego los lenguajes de desarrollo de móvil. Sin embargo, siempre ha sido más fácil la programación web según mi experiencia, y es algo que sinceramente tiene mucho futuro. Tres lineas de código serían suficientes para ejecutar un programa de aplicación web, en el lenguaje de programación de PHP.

Como Aprender

La manera mejor manera para aprender a programar es cuando uno se enseña a si mismo. Con este post dejaremos enlaces a páginas que te puedan servir si quieres iniciarte con la programación. Todo lo que se requiere es que te registres. Una vez estés registrado en digamos codeacademy, ya podrás empezar a aprender… Continue reading Como aprender a Programar

El movil de Diana Quer, valorado en un millon de Euros

Introducción

Saludos a todos los seguidores de Sechurci. En este blog vamos a hablar de la desaparicion de una chica en España, y de porque es que tiene tanto valor el telefono movil de esta chica.

Sobre Diana

Diana ha estado desaparecida 2 meses sin dejar rastro, no se sabe nada de ella, desaparecio asi sin más. Hasta hace unos dias, encontraron su teléfono movil (Iphone 6) sumergido en las costas de Pontevedra (España).

La Unidad Central Operativa (UCO) y la Guardia Civil han enontrado todos los componentes del teléfono movil y funiona correctamente, solo que esta bloqueado.

Han contactado con una empresa Israelita que ya ha trabajado en este tipo de casos, y les ha pedido 1 millon de euros por desbloquear el teléfono movil. Dice la empresa que solo lo puede desbloquear depende del Modelo del télfono y depende del Kernel (S.O) que este usando el teléfono movil.

¿Por que tanto dinero?

Realmente para mi eso si es un verdadero fraude, para alguien que haya tratado con dispositivos moviles, sabra que cuando vas a desbloquearlo, tienes varios intentos y si fallas se bloquea definitivamente y ya no te da mas intentos para desbloquearlo.

¿Como hace esa empresa Israelita para desbloquearlo?

Todo es mediante fuerza bruta automatizada. El codigo de bloqueo del Iphone 6 consta de 4 digitos.

Un ejemplo de pin para desbloqueo seria: 1337

Si intentan 3 veces el desbloqueo y falla Iphone ya no da mas intentos.

Ejemplo: 1234 (FALLADO) 4736(FALLADO) 5476(FALLADO) Iphone 6 bloqueado definitivamente.

Entonces… Si hago fuerza bruta se seguirá bloqueando… ¿Como hacen ellos para que no se bloquee definitivamente?

Continue reading El movil de Diana Quer, valorado en un millon de Euros

¡Aprende Más Sobre La Informática!