miércoles, 21 de marzo de 2007

SQL injection

Y continuamos con las entradas con cuentagotas...
Esta vez le toca el turno a temas de "seguridad". Y es que hace unas semanas asistí a una charla que dió Chema Alonso (www.elladodelmal.com) acerca de técnicas de "hacking" Web, y vaya, me despertó (de nuevo) la curiosidad. Uno de las técnicas que esbozó fue la denominada "SQL injection"; se trata de ejecutar determinadas consultas (o suponer como están embebidas en el código y "completarlas" a nuestro gusto) a bases de datos con el fin de, bien obtener información las tablas de la base de datos de la web (que a su vez contendrán información sobre usuarios, passwords, etc), bien ejecutar comandos (dependiendo de con qué privilegios podremos hacer cosas más grandes; DROP TABLE ... :P) o bien ganarnos acceso por la vía rápida (¿os suena " ' or 1=1 --" ?).
Fue bastante sorprendente ver como, a pesar de que es una técnica de la cual se tiene conocimiento desde hace bastante tiempo (por extensión, los webmasters deberían conocerla también), existe una inmenso número de webs vulnerables por este método. Y no webs personales o del amigo del pueblo, sino incluso de instituciones (en la demo que realizó lo hizo, por ejemplo, con la web del Barça o de alguna universidad).
Por internet existen multitud de artículos y tutoriales sobre este y otros temas relacionados. Buscando por ahí he dado con un tutorial bastante claro que empieza desde lo más básico, con ejemplos y va mostrando que se puede llegar a hacer progresivamente de una forma sencilla. Tutorial SQL [alojado en la web de Hernán Racciati www.hernanracciatti.com.ar]

También recomiendo para prácticar con esta y otras técnias algunas páginas donde proponen Wargames, que no son más que retos preparados (normalmente estructurados en niveles) con los que "jugar".
Muy buena la página hackthissite.org . Además si os atascais disponéis de mucha información en los foros.
En español, http://www.yashira.org/
También desde la web del Maligno hay propuestos dos retos hacking (la solución del primero ya está en su web y en ella podréis ver como se hace uso de SQL injection).
Publicado por en
Etiquetas: ,

1 comentario:

Chema Alonso dijo...

Hola!!

no es elladooscuro, es "El lado del mal" http://elladodelmal.blogspot.com.

Saludos malignos!

;)

29 de abril de 2007, 0:27:00 GMT-7

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)