Entradas

Mostrando entradas de agosto 3, 2010

El arte de la inyección blind (MySQL)

Imagen
Pasaron ya un par de meses desde que publiqué la primer entrega sobre SQL Injection (ver Inyección mortal: SQL Injection), donde introduje el SQLi y distintos tipos de ataque, y prometí continuar con artículos más avanzados. Para los que ya no creían que esto fuera a suceder, aquí esta! =D
Si bien la idea inicial era continuar mostrando ataques no-blind, es decir, ataques más fáciles de realizar debido a que el servidor nos retorna los errores de la base de datos, decidí cambiar el rumbo luego de realizar algunas pruebas blind sobre una página.


Refrescando la memoria...

El ataque Blind SQL Injection se realiza cuando la página/aplicación que deseamos atacar no retorna ningún error de base de datos. Es decir, si ejecutamos una consulta y ésta es incorrecta, el sistema no nos devolverá el error. De esta forma, realizar ataques es mucho más complejo porque tenemos que utilizar mucha imaginación y jugar con las respuestas del servidor.

La técnica utilizada en este tipo de ataques es realiza…

Python: Lenguaje Hacker

Imagen
Existen muchos lenguajes de programación en estos momentos y para los que recien empiezan en la programación se les hace difícil encontrar un lenguaje que llene sus expectativas. Pero aquí es donde entra Python. Python es un lenguaje fácil de aprender y ademas nos ahorra mucho tiempo al escribir cualquier herramienta que necesitemos. Actualmente este lenguaje se ha convertido en el preferido de los Hacker y muchas herramientas hacking estas escritas en el, aquí les dejo una lista de las herramientas en Python y lo que esta logrando en la comunidad Hacking.

Herramientas en Python para Pentest
http://totalsec1.blogspot.com/2010/07/herramientas-en-python-para-pentest.html
Pagina Oficial Python
http://www.python.org/

Wikipedia Python
http://es.wikipedia.org/wiki/Python

Faq sobre Python
http://www.python.org/doc/faq/es/general/