Bien, esto es algo que le pasó a un amigo mío.
Un poco de contexto: los dos somos estudiantes en la misma universidad, estudiando informática. Nuestra universidad también tiene un sitio web en el que puede iniciar sesión para ver su calendario, cursos, tareas, etc.
No todo lo que aprendemos en nuestros cursos es legal para probarlo en la computadora de otra persona. Aprendí la inyección de html, el arp spoofing, el desbordamiento de la pila, el envenenamiento por DNS … Cosas que son útiles para saber si alguna vez necesitamos defender un programa de tal ataque. Tengo que conocer a tu enemigo.
Otra cosa que aprendimos es la inyección de SQL. En esencia, al ingresar variantes de los comandos SQL en el cuadro de búsqueda, espera que el servidor publique / borre todos sus datos.
- ¿Cuál es la asociación entre el trauma de la primera infancia y las fobias?
- ¿Por qué los indios están obsesionados con su glorioso pasado, en lugar de pensar en dónde deberíamos estar en el futuro?
- ¿Por qué las personas intelectuales se resuelven a una vida pobre?
- ¿Por qué la gente quiere vivir para siempre?
- ¿Alguna vez has mantenido un profundo secreto para tus padres que sabes que les rompería el corazón? ¿Finalmente les dijiste lo que escondías? ¿Cómo lo tomaron?
Ahora, mi amigo pensó: ¿qué pasa si aplico mi conocimiento de inyección SQL a … Lo has adivinado, nuestro sitio web de la universidad.
Resulta que el sitio web es, en sus palabras: “un tamiz con una alarma”. Sí, el sitio web fue violado, pudo poner sus manos en los datos, pero olvidó que estaba conectado. Los chicos de TI supieron al instante que alguien estaba intentando piratear el sitio web, y (porque estaba registrado) también sabían quien.
Su cuenta fue suspendida por una semana.
Aparentemente, él no es un lobo solitario: tales cosas suceden muy a menudo. Escuché que de vez en cuando, nuestra universidad recibe una llamada del Pentágono de que alguien dentro de nuestra red está tratando de llegar a la suya.
Ah, estudiantes de CS. También nos centramos en si somos capaces de romper una barrera para preocuparnos de si se nos permite o no.
PD: el departamento de TI resultó ser bastante relajado y amigable, incluso le mostraron partes del código que mantenían el sitio web en funcionamiento.