Defacement Es una palabra inglesa que significa desconfiguración y es un término usado en informática para hacer referencia a la deformación o cambio producido de manera intencionada en una pagina web por un atacante que haya obtenido algun tipo de acceso a ella, bien por algun error de programacion, por algun bug en el servidor o por alguna mala administracion de este.El autor de un defacement se denomina defacer.
https://es.wikipedia.org/wiki/Defacement
Teniendo una definicion clara de lo que es defacement ahora tocaremos los difrentes ataques que se realizan, de antemano les comento que los videos publicados no seran de mi autoria pero sirven de referencia para empezar en el area y cuando sea de mi autoria se los hare saber .
Ataques efectivos para un buen defacement.
Ataques por inyeccion sql : Es una técnica para modificar cadena de consulta de una base de datos el sqli explota las posibles vulnerabilidades donde las consultas se pueden ejecutar con los datos válidos. Con esta técnica se puede obtner las tablas de la base de datos de la pagina víctima y lo que es mas importante acceso a la tabla de usuarios y contraseñas. Ejemplo de pagina vulnerable a este ataque.
https://omsi-security.blogspot.mx/2014/06/pwned-desdezeroradiocom.html. pueden descargar la bd para estudiar su estructura .
Herramientas para ejecutar este tipo de vulnerabilidades
Buscar las fallas de sqli implica tener que escanear las paginas web victimas, la mejor forma de hacerlo es tener que usar scanners automatizados y acontinuacion enlisto las tools.
SQLIer toma una URL vulnerable e intenta obtener toda la información
necesaria para explotar la vulnerabilidad de inyección SQL por si
mismo, no requiriendo ninguna intervención del usuario. Descargar SQLIer.
SQLMAP - Es una herramienta de prueba de penetracion de código abierto que automatiza el proceso de detectar y explotar los errores de inyeccion sql. http://sqlmap.org/
Video expliccativo de como usarlo:
SQL Power Injection Injector
SQL Power Injection ayuda a un auditor a inyectar comandos SQL en una página web. Su fuerza principal radica en la capacidad de automatizar inyecciones SQL tediosas utilizando para ellos múltiples procesos.