De la inyección de SQL a la shell, material de presentación y entrenamiento

Los miembros de PentesterLab han creado un paquete con material para presentaciones y enseñanza basado en un laboratorio de prácticas sobre inyección de SQL. El objetivo es proveerte con una serie de diaspositivas y guía, además de una prácticas ya preparadas, para la enseñanza de ataques a aplicaciones web, explotando vulnerabilidades de inyección de SQL. El paquete lo han titulado Meetup pack for “From SQL Injection to Shell”. El curso en el que está basado es From SQL Injection to Shell (ISO del curso), el cual puedes hospedar tú mismo o usar la versión online (para éste necesita tener una cuenta PRO).
Leer más

Ejercicio práctico: desde la inyección de SQL hasta el terminal, versión PostgreSQL

¿Os acordáis de la entrada Ejercicio práctico: desde la inyección de SQL hasta el terminal? Pues el equipo de Pentesterlab, los creadores del origen de la misma, han vuelto a hacer los mismo pero con un pequeño cambio: la base de datos en el servidor a atacar es PostgreSQL. Aunque la idea de una inyección de sql es la misma, dependiendo de la base de datos con la que tengamos que lidiar, sí que hacen que los detalles del ataque sean distintos.
Leer más

Ejercicio práctico: desde la inyección de SQL hasta el terminal

Nada como un ejercicio práctico para aprender por uno mismo. En cuestiones de explotación de aplicaciones web nada como jugar a algún wargame, montarte tu propio sistema vulnerable y buen libro, asistir a alguna clase con algún laboratorio de prácticas, etc o buscarte algún tutorial por la web. Este último, es el caso de este ejercicio práctico titulado: From SQL Injection to shell, cuya traducción sería más o menos: Desde la inyección de SQL hasta el terminal.
Leer más

Afina tu SQLi-Fu

Nada mejor y más seguro de probar y aprender nuestras tácticas y habilidades de intrusión en sistemas diseñados para ello y así no meternos en problemas. En este enlace podemos encontrar 3 retos de inyección de SQL. Dichos retos tienen dos variantes: A y B, siendo esta última algo más complicada que la primera. Pues nada, si no tienes nada que hacer, ya te puedes distraer un rato :)
Leer más

CTF #nullcon 2012: Web 5

En la quinta y última prueba de esta categoría nos encontramos con: Do You Have What IT Takes to Break into the World’s Most Secure Login System? El sistema más seguro del Login del mundo. Cuando vamos a la página de Login nos encontramos con: Y aunque en esta prueba no nos dan ninguna pista en el código de la página, si que nos la dan en el nombre de la “empresa” que creó esta pantalla de Login: MERASEQUEL.
Leer más

Vídeos de la Tech-Ed América del Norte 2011 sobre SQL Server

Pues eso, aquí tenéis la lista de vídeos: Microsoft SQL Server Code-Named "Denali" AlwaysOn Series,Part 1: Introducing the Next Generation High Availability Solution Building Scalable Database Solutions Using Microsoft SQL Azure Database Federations Using Knowledge to Cleanse Data with Data Quality Services Top 10 Reasons to Upgrade to Microsoft SQL Server 2008/R2 Reporting Services The T-SQL Cookbook: What's Cool in Microsoft SQL Server 2008 R2 and New in SQL Server Code-Named "
Leer más

hackxor hacker game

hackxor es una aplicación web programada de forma intencionada con una serie de fallos de seguridad con la que puedes jugar. Contiene fallos del tipo: XSS, CSRF, SQLi, ReDoS, DOR, inyección de comandos, etc. Puedes jugar de forma online a los 2 primeros niveles, pero como dicha aplicación se aloja en SourceForge piden que uses el sentido común y no uses herramientas de fuerza bruta o escaners automáticos, así como sólo jugar con http://hackxor.
Leer más

Mejora el rendimiento de tu base de datos

Mucho se ha hablado de las bases de datos NoSQL. Que si la rapidez, el escalabilidad, etc, pero lo cierto es que las RDBMs de toda la vida (los más comunes), los sistemas de bases de datos relacionales son potentes, muy potentes, especialmente si tenemos cuidado con el diseño de la misma. En Use the index, Luke, han publicado un libro totalmente gratuito dónde nos hace una introducción sobre como mejorar el rendimiento de bases de datos relacionales.
Leer más

Inyección de SQL con raw MD5 hashes

Acabo de leer en este post, sobre esta nueva técnica, al menos nueva para mi, sobre la inyección de código SQL usando raw MD5 hashes. Normalmente la autentificación (más común y sencilla) de un usuario en una aplicación web, suele lanzar una query de este tipo: SELECT usuario FROM usuarios WHERE password = (hash del password) Es decir, una vez hayamos introducido los credenciales, lo que realmente comparamos con “password” es su hash, porque tu no guardas los passwords en texto plano, ¡a qué no!
Leer más

Inyección de código SQL en los sistemas de tráfico

Cuando vi la foto por primera vez, me lo tomé con humor, pero después de meditar un poco esto podría ser perfectamente válido. La regla de oro para evitar la inyección de SQL es limpiar los datos datos de entrada. Claro cuando un piensa en la entrada de datos, piensa en un usuario detrás de un teclado, aunque los datos no provengan directamente de un formulario, un usuario puede esnifar tráfico, modificarlo y reenviarlo, etc.
Leer más
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces