La Comunidad DragonJAR

Siguiendo con la secuencia de videos del evento realizado el 7 de Octubre de 2007 en Getafe España, les dejo a continuacion una charla de Alberto Moro, aka “Mandingo”, donde nos cuenta algunas técnicas para enfrentarse a un reto de auditoría; que mecanismos mentales seguir, que actitudes tomar y que realizar frente a situaciones de bloqueo. Al final, cuenta como utilizar la herramienta “pipper” para realizar realizar bruteforcing de aplicaciones web.

La duración del vídeo es de 00:32:55, aquí les dejo el enlace de descarga.

Aqui las diapositivas (Primera Parte en PDF - Mirror Comunidad) (Segunda Parte en PPTMirror Comunidad)

En este vídeo se muestran las pautas que se deben seguir para realizar una un test de intrusión a una aplicación web.

La Charla es dictada por RoMaNSoFt [RS-labs] y dura 00:25:29 quieres descargarlo puedes hacer click aquí.

También puedes descargar las diapositivas de la conferencia aquí (están en .pdf).

Esta técnica presenta con mayor oportunidad los hallazgos y previene mejor errores y fraudes.

La concepción que todavía se tiene acerca de que la función de auditoría consiste en revisar enormes cantidades de papeles, en busca de evidencia de errores operativos y administrativos o fraudes consumados, cada vez se va quedando más en el pasado, debido, principalmente, a dos factores.

Por un lado, la operación y administración de las empresas se genera y reside cada vez más en medios electrónicos, lo cual implica revisar una gran cantidad de información, que en muchos de los casos pueden ser millones de registros, lo cual es simplemente imposible hacer de manera manual.

Por otra parte, hoy en día para la alta dirección de las empresas ya no es suficiente con que el auditor detecte un error o un fraude varios meses después de que éste ocurrió, sino que debe anticiparse y ayudar a prevenirlos, reforzando el control interno de cada proceso.

Otro aspecto que ha cambiado la función de auditoría es el hecho de que el auditor debe manejar bastante bien la computadora, ya que deberá apoyarse necesariamente en herramientas computacionales tipo CAAT (Computer Assisted Audit. Techniques) para la realización de una auditoría completa y la presentación de los resultados.

Leer el resto de la entrada »

SQLGET es una herramienta de inyección de código SQL a ciegas desarrollada en Perl.
Permitiendo conseguir mediante esta técnica acceso a esquemas y tablas de la base de datos auditada.

Bases de Datos soportadas para las auditorías:

• IBM DB2
• Microsoft SQL Server
• Oracle
• Postgres
• Mysql
• IBM Informix
• Sybase
• Hsqldb
• Mime
• Pervasive
• Virtuoso
• SQLite
• Interbase/Yaffil/Firebird (Borland)
• H2
• Mckoi
• Ingres
• MonetDB
• MaxDB
• ThinkSQL
• SQLBase

Técnicas de evasión:

• mod_security bypass
• Random user-agent
• Random proxy-server
• Random delay request
• Convert requests to hexadecimal values

Descargar SQLGET v1.0.0
Más información

FG-Injector es una herramienta que facilita la tarea del pentester en la explotación de vulnerabilidades del tipo inyecciones SQL.
Incluye un proxy que permite interceptar pedidos HTTP y modificarlos a voluntad del analista, un módulo de escucha de tráfico HTTP y un motor de inferencia para facilitar la automatización de explotación de inyecciones SQL.
EL módulo del motor de inferencia automatiza la generación e inyección de sentencias SQL necesarias para la explotación de inyecciones SQL de todo tipo (ordinarias y a ciegas). La herramienta permite tratar con distintos DBMS: MS SQL Server, MySQL y PostgresSQL.

Documentación de sobre el uso de la herramienta (instalación, configuración, uso, etc.)

Descargar FG-Injector (Tool SQL Injection)