por qué en el post tiene resource id =false
y cuando creamos el script le agregamos ahí la cookie?
que no la cookie es la que va en parte de Postman-Token : ???
Bienvenida y panorama general
Lo que aprenderás sobre el hacking ético
Conceptos básicos sobre hacking ético
Vulnerabilidades
Amenazas y ataques comunes
Instalación del entorno de pruebas Kali Linux
Instalación del entorno de pruebas Mutillidae
Instalación del entorno de pruebas Metaesplotaible 3
Práctica: Cross-Site-Scripting, command injection y directorio transversal
Introducción al Hacking Ético
Fases del hacking
Tipos de hacking
Práctica: Obteniendo información de fuentes abiertas con OSINT Framework y Google hacking
Práctica: Analizar un sitio web con Nikto y Spiderfoot
¿Es necesario un hacking ético? Hacking ético como profesión
Pentesting
Conceptos. ¿qué es y qué no es pentesting?
Tipos de pentesting. Fase Pre-ataque
Práctica: Buscando secretos en repositorios GIT
Introducción al escaneo de redes
Práctica: Escaneo de redes con Nmap
Fase de Ataque. Testing de aplicaciones web con Burp suite
Práctica: Explotando vulnerabilidades en metasploitable
Fase Post-ataque. Metodologías
Estándares y aspectos legales
PCI DSS. HIPAA. DMCA.ISO/IEC 27001
Contratos, Reglas de compromisos, Cláusula de no competencia y Acuerdo de confidencialidad
Convenio de Budapest. ¿Cómo vamos en América latina? Salvaguarda de evidencias digitales
Casos típicos de ataques
Malware y Análisis estático de malware
Malware y Análisis dinámico de malware
Sniffing y Cómo realizar un ataque Man in the middle automatico
Sniffing y Cómo realizar un ataque Man in the middle manual
Denegación de servicio. Ataque DOS con LOIC y HOIC
Ingeniería social
Controles y mecanismos de seguridad
Políticas de seguridad. Seguridad física y Controles de acceso
Práctica: Bypass autenticación QR (Reto 6 SANS Holiday hack)
Copias de seguridad. Defensa en lo profundo
Práctica: instalación del IDS snort
Gestión de riesgos y modelado de amenazas
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Los retos de seguridad son una excelente manera de poner a prueba y expandir tus habilidades en ciberseguridad. Hoy, te guiaré a través del proceso para resolver el reto número seis del San Holidays Challenge proporcionado por SANS, una de las instituciones más prestigiosas en seguridad. Prepárate para mejorar tus habilidades y convertirte en un experto en seguridad, todo gracias a la formación de Platzi.
Para comenzar con este reto, primero debes acceder a la página del San Holidays Chal en: cljholidaychallenge.com. Una vez ahí, dirígete al apartado de historia para ver el reto número seis. En este desafío, nos encontramos con un panel de autenticación para el que Santa Claus requiere pruebas de seguridad para detectar potenciales vulnerabilidades.
Vagando por las instalaciones, te encuentras con una credencial de un duende que contiene un código QR. Observas que el sistema de autenticación incluye detección de huellas dactilares y un puerto USB. Nuestra misión es verificar el sistema y encontrar cualquier debilidad.
El primer paso es crear un código QR modificado para probar si el sistema es vulnerable a inyecciones SQL. Utiliza una herramienta en línea para generarlo, ingresando una combinación de caracteres y terminando con una comilla simple ('
) para desencadenar posibles errores.
Juan'
.Existen varias herramientas y técnicas que serán de utilidad para este reto:
127.0.0.1
y el puerto 5555
.Python junto con las librerías qr_code
, requests
y json
serán herramientas cruciales para ejecutar scripts personalizados.
pip install
para cada una.Con los datos recopilados y preparados desde Postman, procede a crear un script Python para llevar a cabo las peticiones necesarias:
import json
import requests
import qrcode
# Generación del QR
qr_data = "Juan'" # SQL injection string
qr = qrcode.make(qr_data)
qr.save("qr.png") # Save as PNG
# Envío de la solicitud POST
url = "http://targetsite.com/upload"
files = {'file': ('qr.png', open('qr.png', 'rb'), 'image/png')}
response = requests.post(url, files=files)
print(response.text) # Verifique la respuesta
Tras enviar las solicitudes, analiza la respuesta dada por el sistema. Un error indica una vulnerabilidad, lo que confirma que el sistema está expuesto a inyecciones SQL. Ajusta y reutiliza esa información para simular una sentencia lógica que podría resultar útil en la explotación de esta vulnerabilidad.
Valida los códigos recibidos asegurándote de que el acceso sea otorgado, confirmando el éxito del reto. Copia el número de control proporcionado por el sistema como resultado del hackeo y prueba su efectividad completando el reto en la plataforma del San Holidays Challenge.
Este tipo de retos no solo fortalecen tus capacidades técnicas, sino que también te preparan para enfrentar los desafíos de seguridad en entornos reales. ¡Sigue aprendiendo y desarrollando tus habilidades! Te animo a que continúes con tu suscripción en Platzi, donde cada clase te acerca más a tu meta de convertirte en un experto en seguridad.
Aportes 10
Preguntas 4
por qué en el post tiene resource id =false
y cuando creamos el script le agregamos ahí la cookie?
que no la cookie es la que va en parte de Postman-Token : ???
HTTP define un conjunto de métodos de petición para indicar la acción que se desea realizar para un recurso determinado.
EL M EJOR
Muy buena clase
De las clases más interesantes que tiene el curso. Muy buena práctica y, sobre todo, bien explicada.
que buen taller 😃
demasiado chafa no se pueden ver ciertos videos
Una de las mejores clases del curso
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?