tests_basicos_de_seguridad_con_grep
Table of Contents
Buscar vulnerabilidades / ataques web con grep
Inclusión de ficheros, inyección de código, shells, etc.
# Funciones que podrían ser sospechosas. grep --color -iRPn "(net_ping|eval|assert|create_function|exec|pcntl_exec|proc_open|popen|shell_exec|passthru|shell_exec|system|phpinfo|str_rot13|base64_decode|chmod|mkdir|fopen|fclose|readfile|php_uname|eval|tcpflood|udpflood|edoced_46esab|move_uploaded_file|preg_replace|stripslashes|gzuncompress) *\(" /dir/code # La instrucción "goto" y cadenas en formato hexadecimal suelen ser muy usadas en ofuscaciones de código. grep --color -iRPn "goto " /dir/code # Código hexadecimal. grep -RiaP '\\x([0-z]+|{[0-z]+})' # Buscar códigos sospechosos en volcados de base de datos. grep -i '<?ph\|<iframe\|display:none' ficheroSQL.dump
Cross-site scripting (XSS)
grep -i -r -e "\$_GET" -e "\$_POST" -e "\$_COOKIE" -e "\$_REQUEST" -e "\$_FILES" -e "\$_SERVER" | grep echo
Búsqueda de ataques XSS / SQL injection en logs
grep --color -iRPn "\.\.\/|%3C|%3E|\<|\>|alert\(|xss|document.cookie\)|javascript|vbscript|document.location|\-\-|\/\*\*|\&\#x3E|\&\#x3C|\&\#6|CharCode|amp\;|src\=|\=.*\.js|@@version|database\(|user\(|union.*select.*|where.*like|where.*\=|drop.*table|truncate.*table|delete.*from|insert.*into|update.*set|load_file|libwww-perl|sqlmap|.*sp_password.*|.*\%20xp_.*|.*EXEC\(@.*|CAST\(|declare\%29|benchmark|localhot|127\.0" /var/log/apache2/access.log
Cadenas de texto relativas a la inyección SQL
select|insert|cast|set|declare|drop|update|md5|benchmark
tests_basicos_de_seguridad_con_grep.txt · Last modified: 2021/09/10 12:00 by busindre