====== Buscar vulnerabilidades / ataques web con grep ======

**Inclusión de ficheros, inyección de código, shells, etc**.
<code bash># Funciones que podrían ser sospechosas.
grep --color -iRPn "(net_ping|eval|assert|create_function|exec|pcntl_exec|proc_open|popen|shell_exec|passthru|shell_exec|system|phpinfo|str_rot13|base64_decode|chmod|mkdir|fopen|fclose|readfile|php_uname|eval|tcpflood|udpflood|edoced_46esab|move_uploaded_file|preg_replace|stripslashes|gzuncompress) *\(" /dir/code

# La instrucción "goto" y cadenas en formato hexadecimal suelen ser muy usadas en ofuscaciones de código.
grep --color -iRPn "goto " /dir/code

# Código hexadecimal.
grep -RiaP '\\x([0-z]+|{[0-z]+})'

# Buscar códigos sospechosos en volcados de base de datos.
grep -i '<?ph\|<iframe\|display:none' ficheroSQL.dump
</code>


**Cross-site scripting (XSS)**
<code bash>grep -i -r -e "\$_GET" -e "\$_POST" -e "\$_COOKIE" -e "\$_REQUEST" -e "\$_FILES" -e "\$_SERVER" | grep “echo”
</code>

==== Búsqueda de ataques XSS / SQL injection en logs ====

<code bash>grep --color -iRPn "\.\.\/|%3C|%3E|\<|\>|alert\(|xss|document.cookie\)|javascript|vbscript|document.location|\-\-|\/\*\*|\&\#x3E|\&\#x3C|\&\#6|CharCode|amp\;|src\=|\=.*\.js|@@version|database\(|user\(|union.*select.*|where.*like|where.*\=|drop.*table|truncate.*table|delete.*from|insert.*into|update.*set|load_file|libwww-perl|sqlmap|.*sp_password.*|.*\%20xp_.*|.*EXEC\(@.*|CAST\(|declare\%29|benchmark|localhot|127\.0" /var/log/apache2/access.log</code>


==== Cadenas de texto relativas a la inyección SQL ====

<code>select|insert|cast|set|declare|drop|update|md5|benchmark</code>