jueves, noviembre 15, 2007

Así de simple!

Con esto de eso que algunos llamaron "Bacon" suceden estas cosas. Vas viendo cosas que piensas "le tengo que echar un ojo, a ver que tal" y se quedan ahí... Las cosas se van a acumulando hasta que llega un día en el que tienes treinta segundos y dices: "coño, voy a probar aquello que se quedó ahí". Este es el caso de hoy.

Tiempo ha vi anunciado por ahí, a bombo y platillo en algún blog de por ahí una nueva tool online para evaluar la vulnerabilidad SQL Injection. La herramienta se presenta así misma sin querer generar mucha expectación:

"SQL injection test tool was created for beginner webmasters. The tool will perform simple test to check whether a webpage is vulnerable to SQL injection. It cannot determine vulnerability for sure, but will at least try."

Para webmasters principantes va a hacer un test simple para ver si la página es vulnerable a SQL Injection, pero lo mejor es la última frase, digna del Lobombre: "No puede determinar la vulnerabilidad de forma segura, pero al menos lo intentará...."

Vale, pues vamos a ver que hace la chiquitina. Probadas las urls del Retohacking 1, que como ya sabéis es una prueba de Blind SQL Injection, como era de esperar, no detectó nada.

"Claro, es porque es un test para beginner webmasters que realiza pruebas simples... démosle otra más sencilla coño".

Probadas lo que viene siendo un manojo de URLs no parecía encontrar mucha cosa así que dije:

"Me cag* en tu p%&· ma*34$, ¿qué coño estás haciendo?"

Así que le pasé la URL del Retohacking IV para generar un log de las peticiones que se estaban realizando a los parámetros. Así que probé con dos URLS:

- http://retohacking4.elladodelmal.com/Default.aspx?recurso=Impresora
- http://retohacking4.elladodelmal.com/Default.aspx?recurso=Impresora&planta=Primera+pPlanta



El resultado fue... sorprendente. Este es el log que genera:


Son unos crashes. Como se ve en el log hacen una única petición por URL dada (la petición que se ve en el log sin inyección es mia para comprobar la dirección) en la que únicamente prueban una comilla. Con dos cojones. Si peta bien, y si no, los beginners webmasters se van tan contentos porque han pasado un Online SQL Injection Test y no ha dado ningún mensaje alarmante.

Se podían haber ahorrado la online tool y haber puesto algo así como "Pon una comilla cabestro". No me quiero encender hoy, así que lo dejamos aquí. El Online SQL Injection Test está disponible en la siguiente URL, pero recuerda... just for beginners webmasters... manda cojones.

10 comentarios:

  1. Jajajaja !qué bueno!

    Esto es una herramienta básica (y no en el sentido de imprescindile) y lo demás tonterías xDDDDDDDDD

    Con el curro que se ha debido pegar la podía haber puesto shareware 8-)

    ResponderEliminar
  2. jejejeje....

    Yo tambien tengo un nuevo producto que promocionar...

    Es el "Chaleco Antibalas para Policias Beginners". No puedo garantizar que el chaleco pare las balas... pero lo intentará.... juasjuasjuasjuas.

    ResponderEliminar
  3. Cuanto premio nobel suelto.
    XD

    ResponderEliminar
  4. Como me recuerda esto a herramientas de auditoria tales como escaneres que dando una sensacion de seguridad inexsistente..

    ResponderEliminar
  5. Me parece que me voy a hacer una camiseta que ponga lo de... "Pon una comilla cabestro!"

    ResponderEliminar
  6. Cojonudo, hoy me he reído un chacho.

    ResponderEliminar
  7. Que bueno!

    Esto me recuerda a mis primeras aplicaciones en C: hice una aplicación que te calculaba la velocidad media de tus descargas con la mula, claro que no era muy real....jejeje

    si es que soy malo programando...

    ResponderEliminar
  8. Dice: "la herramienta realizará simple prueba", "que no puede determinar la vulnerabilidad de seguro, sino que, al menos, intentar". Acerca de esta web describe claramente lo que hace. Que sea honesto. No se puede entender su sarcasmo al respecto.

    ResponderEliminar
  9. Pues la ironia está clara, que en el mismo parrafo de la descripción cabe decir que meta la comilla al final del parametro... y se ahorran la programación de la utilidad.

    ResponderEliminar
  10. Igual la utilidad era de cuando se inventó la inyección de sql, de vieja que puede llegar a ser, jejeje.

    ResponderEliminar