La Comunidad DragonJAR » Blind SQL Injection http://www.dragonjar.org Noticias de actualidad y seguridad informática, herramientas de seguridad, documentación y una excelente COMUNIDAD. Sat, 11 Feb 2012 22:13:24 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 Presentación de conceptos básicos en Seguridad Webhttp://www.dragonjar.org/presentacion-conceptos-basicos-seguridad-web.xhtml http://www.dragonjar.org/presentacion-conceptos-basicos-seguridad-web.xhtml#comments Fri, 18 Feb 2011 05:14:43 +0000 DragoN http://www.dragonjar.org/?p=5790 SeguridadWeb Presentación de conceptos básicos en Seguridad Web

Marcos García, miembro de nuestra comunidad ha querido compartir con nosotros la siguiente presentación, que referencia a los ataques más comunes sobre las aplicaciones . La idea principal es concientizar a los desarrolladores/administradores, para que tengan en cuenta a qué amenazas y riesgos de están expuestas sus aplicaciones.

SeguridadWeb Presentación de conceptos básicos en Seguridad Web

Es importante señalar que existen más ataques, los cuales no figuran en la presentación.

Descargar documentación

También podremos ver ejemplos prácticos de todas las técnicas mencionadas en los siguientes vídeos.


CSRF

Path Traversal

Null Byte

OS Commanding

Local File Inclusion

Remote File Inclusion

Information Disclosure

Injection/

File Upload

Agradecimientos especiales a Marcos García por compartir esta información con nosotros.

También puede interesarte...

]]> http://www.dragonjar.org/presentacion-conceptos-basicos-seguridad-web.xhtml/feed 3 SQLMap – Herramienta Automática de Inyección SQLhttp://www.dragonjar.org/sqlmap-herramienta-automatica-de-inyeccion-sql.xhtml http://www.dragonjar.org/sqlmap-herramienta-automatica-de-inyeccion-sql.xhtml#comments Mon, 10 Nov 2008 04:32:18 +0000 DragoN http://www.dragonjar.org/?p=1399 sqlmapaj2 SQLMap Herramienta Automática de Inyección SQL

sqlmap es una herramienta desarrollada en python para realizar inyección de código automáticamente. Su objetivo es detectar y aprovechar las de inyección en aplicaciones . Una vez que se detecta una o más inyecciones en el host de destino, el usuario puede elegir entre una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseñas, los privilegios, las bases de datos , O todo el volcado de tablas / columnas específicas del DBMS , ejecutar  su propio SELECT, leer archivos específicos en el sistema de archivos y mucho más.

Características

  • Soporte completo para , Oracle, PostgreSQL y Microsoft SQL. Además de estos cuatro sistemas de gestión de bases de datos, sqlMap también puede identificar Microsoft Access, DB2, Informix, Sybase y Interbase.
  • Amplia base de datos de sistema de gestión de huellas dactilares basadas en inband error messages, analizar el banner, las funciones de salida de comparación y características específicas tales como MySQL comment injection. También es posible forzar a la base de datos de sistema de gestión de nombre si ya lo saben.
  • Soporte completo para 2 técnicas de SQL injection: y inband SQL injection.

Aqui podemos ver la herramienta en ejecución enumerando la versión utilizada del MySQL:

# ./sqlmap.py -u "http://XXXXXXXXXXX/detail.php?code=XXXXX" -b
sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 21:58:00

[21:58:01] [WARNING] User-Agent parameter ‘User-Agent’ is not dynamic
back-end DBMS: MySQL >= 5.0.0
banner: ’5.0.51b-community’
[*] shutting down at: 21:58:07

Descarga el sqlmap-0.6.1.tar.gz para entornos GNU/Linux o sqlmap-0.6.1_exe.zip para Microsoft Windows.

Mas Informacion:
Pagina Oficial del SQLMap
Manual del SQLMap
Cambios de Version

También puede interesarte...

]]> http://www.dragonjar.org/sqlmap-herramienta-automatica-de-inyeccion-sql.xhtml/feed 0 Video: Blind SQL Injection Técnicas Avanzadashttp://www.dragonjar.org/video-blind-sql-injection-tecnicas-avanzadas.xhtml http://www.dragonjar.org/video-blind-sql-injection-tecnicas-avanzadas.xhtml#comments Mon, 04 Aug 2008 22:59:52 +0000 DragoN http://www.dragonjar.org/?p=440 A continuación les dejo el vídeo de una conferencia sobre Técnicas Avanzadas de dictada por Daniel Kachakil de Electronic Dreams y Pedro Laguna de Informática64 el 7 de Octubre de 2007 en Getafe España.

La duración del vídeo es de 00:38:25 por lo tanto si prefieres descargarlo puedes hacer click aquí.

También puedes descargar las diapositivas de la conferencia aquí (están en .pptx).

También puede interesarte...

]]> http://www.dragonjar.org/video-blind-sql-injection-tecnicas-avanzadas.xhtml/feed 6 Como protegerse contra las técnicas de Blind SQL Injectionhttp://www.dragonjar.org/como-protegerse-contra-las-tecnicas-de-blind-sql-injection.xhtml http://www.dragonjar.org/como-protegerse-contra-las-tecnicas-de-blind-sql-injection.xhtml#comments Wed, 15 Aug 2007 21:08:29 +0000 DragoN http://www.dragonjar.org/?p=905 Maligno webmaster de “Un informático en el lado del mal” ha terminado su serie de artículos titulados “Protección contra las técnicas de Blind Injection”, son de lectura recomendada así que aquí les dejo.

Protección contra las técnicas de Blind SQL Injection (I de IV)
Protección contra las técnicas de Blind SQL Injection (II de IV)
Protección contra las técnicas de Blind SQL Injection (III de IV)
Protección contra las técnicas de Blind SQL Injection (IV de IV)

PD. si te gusta ubuntu depronto te parecerá gracioso lo que hace este personaje en sus días de ocio “San Ubuntu iluminador

También puede interesarte...

]]> http://www.dragonjar.org/como-protegerse-contra-las-tecnicas-de-blind-sql-injection.xhtml/feed 0