tag:blogger.com,1999:blog-21555208.post3605398845445594955..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: Inverted SQL queries (I de II)Chema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger7125tag:blogger.com,1999:blog-21555208.post-26581667572541207382009-09-21T16:52:31.493+02:002009-09-21T16:52:31.493+02:00@amperis, no estarás usando MySQL?? léete la parte...@amperis, no estarás usando MySQL?? léete la parte II del artículo.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-41256314176922746812009-09-21T14:39:05.326+02:002009-09-21T14:39:05.326+02:00Chema, a mi el Paros 3.2.13 y el SQLMap me detecta...Chema, a mi el Paros 3.2.13 y el SQLMap me detecta los dos tipos de injecciones...amperishttps://www.blogger.com/profile/12133227077049838390noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-57481874977523089132009-09-17T07:43:04.928+02:002009-09-17T07:43:04.928+02:00No se si os referís a mi con lo de las aplicacione...No se si os referís a mi con lo de las aplicaciones... <br /><br />Aunque no se así, posiblemente sí que un test de intrusión se me coma vivo... Aunque sí pongo empeño en evitar que se pueda hacer una inyección, al menos ordinaria (una inyección a ciegas seguro que rompe algo).aguxhttps://www.blogger.com/profile/02494121611165912931noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-26270885846289392009-09-16T20:44:06.343+02:002009-09-16T20:44:06.343+02:00Pensemos en un programador que no filtra el input ...Pensemos en un programador que no filtra el input en campos tan sensibles como los de contraseña, y pasa cualquier cosa directamente a la consulta. <br /><br />Igual no es muy amigo de las buenas prácticas. Por lo tanto, tampoco sería de extrañar que escribiese una consulta SQL tan antiestética como la propuesta en el reto. Me imagino cómo podría ser el resto de la aplicación.<br /><br />La ironía es que semejante aplicación, ante un pentesting poco riguroso, limitado a pasar los scans de alguna utilidad al uso, se iría de rositas.<br /><br />Tengo una pregunta para Chema: ¿esto lo habéis visto en una auditoría real de algún cliente o simplemente ha sido una invención para el reto?<br /><br />SaludosUnam1noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-85646741138894040962009-09-16T12:42:27.941+02:002009-09-16T12:42:27.941+02:00Estoy totalmente de acuerdo con lo que comenta RoM...Estoy totalmente de acuerdo con lo que comenta RoMaNSoFt sobre el reto, aunque también es cierto que para colar la clásica inyección de bypass (' or '1'='1) en general no necesitamos ningún feedback por parte de la aplicación y este caso es básicamente lo mismo, pero mucho más rebuscado.<br /><br />De todas formas, me parece interesante destacar que los escáneres de vulnerabilidades no detectan ese caso y supongo que no les costaría gran cosa incluirlo en sus respectivas baterías de pruebas.Dani Kachakilhttp://www.kachakil.comnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-40801392695552130392009-09-16T08:57:05.931+02:002009-09-16T08:57:05.931+02:00Nadie se podía imaginar que un programador fuera t...Nadie se podía imaginar que un programador fuera tan retorcido como para hacer la comparación "al revés"... El reto era irresoluble sin pistas (siendo en modo "blind"), e incluso con ellas, el método (poco ortodoxo) era acabar acertando medio de churro la inyección (a base de pruebas y pruebas) y luego buscar la explicación (lo cual es sencillo, una vez tienes lo primero).<br /><br />Pero el razonamiento lógico (primero analizar, luego inyectar) era imposible puesto que era todo en blind. De hecho, ni siquiera sabías si había inyección ahí, ni de qué tipo.<br /><br />Para que esta prueba hubiera sido técnica de verdad deberíais haber dejado ver los errores de SQL. Parece un pequeño matiz pero le da totalmente la vuelta a la tortilla.<br /><br />PD: ¿y ese libro de Howards?!!!! Ya tardas en mirar la "mvp-m$ store" :P<br /><br />-rRoMaNSoFthttps://www.blogger.com/profile/15516592550449333336noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28804147279964640532009-09-16T08:05:43.344+02:002009-09-16T08:05:43.344+02:00¿Me lo vas a contar a mi? Muchas pruebas enrevesad...¿Me lo vas a contar a mi? Muchas pruebas enrevesadas para que después fuera algo tan sencillo como cambiar el orden de las proposiciones en la clausula. <br /><br />Ya comenté en la solución III mi idea... Que ni por asomo se parecía a la solución.<br /><br />Muy interesante el resultado de las pruebas. Espero impaciente la parte II.aguxhttps://www.blogger.com/profile/02494121611165912931noreply@blogger.com