domingo, 24 de julio de 2011

SQL Injection Web Attacks [Parte VI]

Blind SQL Injections

Hoy toca hablar de las inyecciones SQL a ciegas o "Blind SQL Injections". Se le llama así a una forma particular de vulnerabilidad SQLi cuya principal característica es que no muestra ningún campo de la consulta en la pagina web, en consecuencia, es imposible extraer información usando UNION SELECT.

jueves, 21 de julio de 2011

sábado, 16 de julio de 2011

HackSol, Tercera Edición


El próximo sábado 23 se llevará a cabo la tercera edición del "HackSol". El lugar de encuentro será el auditorio de la Universidad Católica Sede Sapientiae, en los Olivos.

lunes, 11 de julio de 2011

FisiMash, el Facemash de la FISI

Quien ha visto la película "Red Social" ("The Social Network"), recordará que la historia de Facebook comienza con "Facemash", un site creado por Mark Zuckerberg cuyo fin era comparar y votar las fotos de estudiantes universitarias de Hardvard para decidir quien era la más sexy. Pues bien, "FisiMash" es un site que busca imitar la misma funcionalidad.

viernes, 1 de julio de 2011

Una inyección bastante especial

Hoy quiero contarles una experiencia que tuve al intentar explotar una vuln SQLi algo especial. Sucede que no siempre es tan fácil como hacer un UNION SELECT y listarse toda la información de la base de datos... Algunas veces nos topamos con IDS's (Sistemas de Detección de Intrusos) que filtran los ataques y nos pueden complicar bastante la explotación. Precisamente ello es lo que me sucedió así que aprovecharé esto a modo de ejemplo para contarles como afrontar esos problemas...