Una de las vulnerabilidade mas difundidas y la que a pesar del tiempo sigue viva es la de SQL inyection o inyeccion SQL y lo digo porque si buscan estadisticas notaran que son varios sitios con esta vulnerabilidad la culpa no llega a ser del desarrollador, del lenguaje de Programación, del Framework o de cual es? los dejo a su criterio ya que cada uno de los factores mencionados llegan a afectar de alguna u otra manera.

Tratamos de volver con los viernes de Cheat Sheets y porque no retomarlos con algunos de seguridad, esos que no deben de faltar para recordar los comandos mas comunes o usados, el Cheat de hoy viene de la mano de SBD Security By Default y del señor @aramosf el cual armo uno para el uso de SQLMAP, y lo diré de manera pública nunca use la herramienta “toca comenzar a probarla y generar contenido, con mis pruebas y errores”.

Hola a todos esta entrada viene del baúl de los recuerdos exactamente desde hace mas de 2 años, me puse a jugar con el registro de estudiantes de la UDABOL, actualmente esta vulnerabilidad esta “parchada” pero estoy casi seguro de que aun existe mas vulnerabilidades ya ni me dieron las ganas de indicar los fallos por algunas razones que veran en la entrada, como se lava las manos el administrador del sistema.

Gracias a @The_Pr0ph3t hace un par de semanas atras, exactamente el 28 de Agosto gracias a este tuit di con CodeBashing un entorno controlable para hacer pruebas de SQL Injection, en pocas palabras es un Tutorial interactivo para comprender como se realiza este tipo de ataques y viendolo desde ambos bandos, su funcionalidad es la de enseñar a los desarroladores sobre este tipo de ataques, y a su vez a los que andamos en el area de seguridad.

SQLi a pesar del tiempo que pase aun nos topamos con web’s que andan con esta vulnerabilidad, para ello que mejor aprender de las distintas técnicas que podemos usar para explotar, este fallo de programación para ello porque no leer papers. Colección de libros PDF para aprender Sqli. -SQL Injection Introduccion al metodo del error -Tecnicas de inyeccion en MySQL -Time-Based Blind SQL Injection using Heavy Queries -Tecnicas de SQL Injection Un Repaso

Imagen de : http://xora.org La recopilacion de documentos realizada por Roberto Salgado @LightOS mas que una recopilación es una Guia en la cual nos va sumergiendo en este área. Los invito a que vean mas de ello y aprendan SQL INJECTION Su contenido es el siguiente: MySQL Default Databases Testing Injection Comment Out Query Testing Version Database Credentials Database Names Server Hostname Tables and Columns Avoiding quotations String concatenation