Bueno antes que nada no se asusten con este ataque, es un ataque de mayormente pendejos de 16 años que se hacen los grandes hacker por tirar un defaceo, hoy en día en Mu Online tenemos varios que no voy a nombrar y varios son integrantes de los host que les venden VPS, por eso nunca confíen en empresas de terceros!Vamos a explicar en este pequeño tutorial como evitar ser victimas de un deface:Comencemos con el mas simple de todos, El "Refresh"Aunque suene raro para mis colegas con conocimientos en el tema, hay sitios hoy en dia que tienen activado el editor html en sus comentarios
Si es tu caso, si tenes un libro de visitas desactivá el editor html, de otra forma te podran colocar <meta http-equiv="Refresh" content="5;url=http://www.sitioweb.com"> y esto te redireccionara la web a otro sitio
SQL InjectionUno de los mas usados por su facilidad de detectar vulnerabilidades en los sitios.
¿Como saber si tu sitio puede ser hackeado con SQL Injection?
Simplemente agregale "/*" o una simple tilde, si te tira un error, tu sitio es vulnerable.
Vamos a poner un ejemplo:
Tu sitio es "
http://www.tupagina.com/index.php?id=1"
Lo comprobamos de la siguiente manera: "
http://www.tupagina.com/index.php?id=1/*"
o tambien asi: "
http://www.tupagina.com/index.php?id=1'"
como tambien de esta manera: "
http://www.tupagina.com/index.php?id=1)"
Si al colocar cualquiera de estas opciones da un error, tu sitio es vulnerable, por el contrario si tu sitio sigue mostrandose igual, tanto tu SQL como tu plantilla php estan correctamente configurados.
¿Como realiza un hacker la inyección?
Simplemente verifica que el sitio sea vulnerable con las tecnicas que mencioné anteriormente, si lo es comienza el proceso de prueba.
tu sitio es : "
http://www.tupagina.com/index.php?id=1" asi que se comienza con el chequeo de tablas asi "-1 order by 1" hasta dar con el error "-1 order by 16" una vez alli ya sabemos que las tablas son menos de 16 mostrando el siguiente error "Unknown column '17' in 'order clause".
No me voy a explayar mas en el tema porque la idea de este post es explicar como defenderse de los hackers no como hackear un sitio.
Espero que les sirva, no olvides agradecer dandome tu puntuación