domingo, 25 de marzo de 2007
miércoles, 21 de marzo de 2007
SQL injection
Y continuamos con las entradas con cuentagotas...
Esta vez le toca el turno a temas de "seguridad". Y es que hace unas semanas asistí a una charla que dió Chema Alonso (www.elladodelmal.com) acerca de técnicas de "hacking" Web, y vaya, me despertó (de nuevo) la curiosidad. Uno de las técnicas que esbozó fue la denominada "SQL injection"; se trata de ejecutar determinadas consultas (o suponer como están embebidas en el código y "completarlas" a nuestro gusto) a bases de datos con el fin de, bien obtener información las tablas de la base de datos de la web (que a su vez contendrán información sobre usuarios, passwords, etc), bien ejecutar comandos (dependiendo de con qué privilegios podremos hacer cosas más grandes; DROP TABLE ... :P) o bien ganarnos acceso por la vía rápida (¿os suena " ' or 1=1 --" ?).
Fue bastante sorprendente ver como, a pesar de que es una técnica de la cual se tiene conocimiento desde hace bastante tiempo (por extensión, los webmasters deberían conocerla también), existe una inmenso número de webs vulnerables por este método. Y no webs personales o del amigo del pueblo, sino incluso de instituciones (en la demo que realizó lo hizo, por ejemplo, con la web del Barça o de alguna universidad).
Por internet existen multitud de artículos y tutoriales sobre este y otros temas relacionados. Buscando por ahí he dado con un tutorial bastante claro que empieza desde lo más básico, con ejemplos y va mostrando que se puede llegar a hacer progresivamente de una forma sencilla. Tutorial SQL [alojado en la web de Hernán Racciati www.hernanracciatti.com.ar]
También recomiendo para prácticar con esta y otras técnias algunas páginas donde proponen Wargames, que no son más que retos preparados (normalmente estructurados en niveles) con los que "jugar".
Muy buena la página hackthissite.org . Además si os atascais disponéis de mucha información en los foros.
En español, http://www.yashira.org/
También desde la web del Maligno hay propuestos dos retos hacking (la solución del primero ya está en su web y en ella podréis ver como se hace uso de SQL injection).
Esta vez le toca el turno a temas de "seguridad". Y es que hace unas semanas asistí a una charla que dió Chema Alonso (www.elladodelmal.com) acerca de técnicas de "hacking" Web, y vaya, me despertó (de nuevo) la curiosidad. Uno de las técnicas que esbozó fue la denominada "SQL injection"; se trata de ejecutar determinadas consultas (o suponer como están embebidas en el código y "completarlas" a nuestro gusto) a bases de datos con el fin de, bien obtener información las tablas de la base de datos de la web (que a su vez contendrán información sobre usuarios, passwords, etc), bien ejecutar comandos (dependiendo de con qué privilegios podremos hacer cosas más grandes; DROP TABLE ... :P) o bien ganarnos acceso por la vía rápida (¿os suena " ' or 1=1 --" ?).
Fue bastante sorprendente ver como, a pesar de que es una técnica de la cual se tiene conocimiento desde hace bastante tiempo (por extensión, los webmasters deberían conocerla también), existe una inmenso número de webs vulnerables por este método. Y no webs personales o del amigo del pueblo, sino incluso de instituciones (en la demo que realizó lo hizo, por ejemplo, con la web del Barça o de alguna universidad).
Por internet existen multitud de artículos y tutoriales sobre este y otros temas relacionados. Buscando por ahí he dado con un tutorial bastante claro que empieza desde lo más básico, con ejemplos y va mostrando que se puede llegar a hacer progresivamente de una forma sencilla. Tutorial SQL [alojado en la web de Hernán Racciati www.hernanracciatti.com.ar]
También recomiendo para prácticar con esta y otras técnias algunas páginas donde proponen Wargames, que no son más que retos preparados (normalmente estructurados en niveles) con los que "jugar".
Muy buena la página hackthissite.org . Además si os atascais disponéis de mucha información en los foros.
En español, http://www.yashira.org/
También desde la web del Maligno hay propuestos dos retos hacking (la solución del primero ya está en su web y en ella podréis ver como se hace uso de SQL injection).
jueves, 8 de marzo de 2007
Máquinas virtuales
Aunque ya había oido hablar de este tipo de software, no ha sido hasta ahora que me ha entrado la curiosidad sobre este tema y he decidido experimentar un poco en mi PC. A grandes rasgos una máquina virtual es un software que crea un entorno virtual entre el hardware físico y el usuario; es decir, es un nivel de abstracción sobre el hardware que permite al usuario, como característica más salientable, ejecutar varios SO simultáneamente.
De esta manera podemos tener, por ejemplo, funcionando un Windows junto a un sistema operativo Unix.
Los programas más conocidos para este fin son QEMU, VirtualPC (adquirido por Microsoft, y gratuito) y WMware. Este último es quizás el más extendido y, si bien no es gratuito, tan solo con registrarnos en su web nos proporcionarán una licencia que caduca a los 30 días para probarlo. Sin embargo, aunque no quiero incitar a nadie a hacerlo, todos sabemos el tema de las licencias piratas está al orden del día.
Yo por mi parte me he descargado WMware Workstation (versión Windows x386) y ya he ejecutado Ubuntu simultáneamente con el sistema de Microsoft. La interfaz del programa es muy sencilla, un par de clicks aquí, siguiente, otro allá y listo, ya tenemos nuestra máquina virtual funcionando.
Me parece un campo bastante interesante y animo a que os instaléis cualquiera de estos programas y probar; además, es una forma simple a la par que efectiva para prácticar y experimentar y en definitiva, un método con el que familiarizarnos con diferentes sistemas operativos.
VirtualPC
WMware
Suscribirse a:
Entradas (Atom)
