¿Qué idiomas son mejores para escribir herramientas para atacar sitios web, a través de, por ejemplo, un DDOS? Nivel alto, nivel bajo, ¿e incluso hace una diferencia?
Hmm, tendría que decir Python, Bash y / o Perl. ¿Por qué? Bueno, se instalan de forma predeterminada en la mayoría de las plataformas * NIX (la mayoría de los servidores web) y son fáciles de programar para un pirateo rápido (de nuevo estoy hablando de código de piratería).
RENUNCIA DE RESPONSABILIDAD : no estoy promoviendo los ataques de penetración: D
Depende de lo que estés tratando de hacer y con lo que te sientas cómodo. Cualquier lenguaje moderno tiene lo que necesitas para llevar a cabo ataques contra sitios web.
Los lenguajes dinámicos de alto nivel (por ejemplo, python, ruby) pueden hacer que trabajar con diferentes protocolos sea bastante fácil y tienen muchos paquetes que también hacen que sea muy fácil analizar diferentes datos sin tener que codificar muchos de ellos.
He estado trasladando gran parte de mi desarrollo a python (tanto como puedo). Sigo usando C, C ++ para cosas a nivel de sistemas, pero creo que es un nivel demasiado bajo para la forma en que interpreto tu pregunta.
También diría que aprender Javascript y SQL es definitivamente algo que también querrás entender.
Los marcos de desarrollo web no son iguales, pero los desarrolladores de aplicaciones generalmente cometen errores incluso en los más seguros.
El código administrado (alto nivel es un nombre inapropiado para su parte) es preferido por una gran variedad de razones. Dado que el código administrado se basa en una máquina virtual y generalmente se compila a bytecode, no es complicado hacer ingeniería inversa, o incluso descompilar, a código fuente literal. Este enfoque de conocimiento completo sin duda ayudará a las pruebas de penetración, pero el análisis seguro de código estático a menudo requiere una fuente compilable (que casi siempre requiere todos los artefactos de desarrollo, especialmente la VM / runtime, las bibliotecas de clase base (BCL) y los componentes externos).
Las máquinas virtuales en varios lenguajes de códigos administrados también pueden fortalecerse. Algunos componentes externos contienen un "mapa" de características faltantes que no están disponibles en el BCL. En el código no administrado (a lo que se refiere como lenguajes de nivel inferior, como C / C ++ / Assembler), el compilador / ensamblador se podría reforzar de manera similar a la VM, pero esta es una tarea ardua en comparación sin la centralización de la excepción. manejo. En este caso, a menudo se prescriben listas de funciones prohibidas. Ejemplos típicos de componentes externos seguros son OWASP ESAPI para administrados y Coverity Extender para no administrados.
Lea otras preguntas en las etiquetas tools penetration-test