tag:blogger.com,1999:blog-21555208.post6750167879962653193..comments2024-03-08T14:23:30.754+01:00Comments on Un informático en el lado del mal: Protección contra las técnicas de Blind SQL Injection (IV de IV)Chema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger12125tag:blogger.com,1999:blog-21555208.post-9262507850906579242010-11-23T17:18:23.794+01:002010-11-23T17:18:23.794+01:00Man esta bien ese programa pero lo malo es que no...Man esta bien ese programa pero lo malo es que no todas las blind sql son iguales es lo malo de los programas automatizados nunca tedan lo que buscas :<br />1=1<br />(ejecucion)<br /><br />Este metodo es para saltanser los campos del login<br />1=120%login"cookie"<br /><br />Solo editas tu cookie por los personas en (ID)="1" listo lo guardas y ya tienes tu login <br /><br />Es cuestion de buscarle ya que<br />La blind sql blind (ID) blind(path)<br />etc...<br />SOLO SE VASAN EN LAS COOKIES <br /><br />=D[?]noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-86191196800600347362007-08-08T20:38:00.000+02:002007-08-08T20:38:00.000+02:00Si no digo que los artículos estén mal, pero lo q...Si no digo que los artículos estén mal, pero lo que el título "vende" y lo que luego tratan los artículos son cosas distintas, ¿no crees?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-69397851423655058242007-08-08T18:30:00.000+02:002007-08-08T18:30:00.000+02:00@anónimo 1. Estoy en ello, estoy en ello. A ver si...@anónimo 1. Estoy en ello, estoy en ello. A ver si salen las cosas en plazo. Ya avisaré!. :P<BR/><BR/>@anónimo 2, buena reflexión.<BR/><BR/>@bastian, el conocer el peligro te hace buscar soluciones, ¿no?. ¿Como era eso que decía Socrates?<BR/><BR/>@BlacktigerX, gracias!<BR/><BR/>@Julio, WP ha pillado tanto cacho, que no se como sigue pillando. ¿Será el PHP? ¿Será el guaraná?<BR/><BR/>@Sorian, cuando me digo :"ya no me sorprende nada en esto de la seguridad" aparece otra cosa y me deja flipao. Yo creo que por eso engancha tanto. <BR/><BR/>Saludos veraniegos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-84822237401910141452007-08-08T18:26:00.000+02:002007-08-08T18:26:00.000+02:00@Gangrolf,no te sulfures, lo que ha publicado el a...@Gangrolf,<BR/><BR/>no te sulfures, lo que ha publicado el amigo de la ciudad de los krispis es una jilipollez como un piano. La herramienta usa un certificado de Microsoft para poder cargar drivers. Y cuando carga un driver legitimo, carga otro. ¿dónde está la magia? Se usa un certificado para ... saltarse el uso de certificados? Además, habla de dinero y no sabe de que va. <BR/><BR/>Por cierto, lo que no ha dicho, es que con una clave de registro la comprobación de firma de drivers en 64 bits se deshabilita, solo hay que usar google para mirarlo. En definitiva, lo único que sucede es que esta empresa se está jugando la renovación de su certificado para desarrollo de drivers. Así de sencillo. Ah, y no olvidemos, que tanto para cambiar la clave, como para instalar un driver hay que ser administrador, que en Windows Vista ya no es tan habitual.Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-14744360689318148842007-08-08T10:24:00.000+02:002007-08-08T10:24:00.000+02:00A mi esto me ha llegado al alma:Atsiv: utilidad gr...A mi esto me ha llegado al alma:<BR/><BR/>Atsiv: utilidad gratuita que permite saltarse las defensas de Windows Vista<BR/><BR/>Si, en kriptópilos lo han publicado... Aquí está la URL:<BR/><BR/>http://www.kriptopolis.org/atsiv<BR/><BR/>Es genial, se diseña un sistema para que sólo puedas instalar lo que está probado que funciona y no jode al sistema, y ya han encotnrado la manera de instalar cualquier cosa. Luego se quejarán de que su sistema se caiga o no rinda. Y encima tienen los santos webs de decir que es una estrategia de microsoft para que quien quiera desarrollar para Vista tenga que pagar pasta. Mola eh? Diseño un vehículo que quiero que todo el mundo tenga, y me dedico a poner trabas para que vendan su combustible en las gasolineras. <BR/>De verdad que esa noticia me ha sonado a "he conseguido trucar una moto de 50 para que se ponga a 200"-> "la moto me ha explotado, y eso que decian que era la más seguria, malditos mentirosos, mira que no poder echar nitroglicerina al depósito... seguro que están compinchados con las petroleras"Gangrolfhttps://www.blogger.com/profile/12535866881698443787noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-1802265975605470782007-08-08T09:06:00.000+02:002007-08-08T09:06:00.000+02:00Ha estado de puta madre Chema. Qué pena, ya que le...Ha estado de puta madre Chema. Qué pena, ya que le teníamos cariño a ver cada mañana un poquito de blind, ^^, pero bueno a ver con que nos sorprendes =:p<BR/><BR/>Por cierto, sigo flipando cada día más, mientras más alto es el edificio, más cañonazos se le puede dar.Lo que me doy cuenta es la falta de conciencia es directamente proporcional a la diversión del aprendizaje. jeje<BR/><BR/>Saludos !!Sorianhttps://www.blogger.com/profile/18326287230912459628noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-56414159933136528062007-08-08T07:58:00.000+02:002007-08-08T07:58:00.000+02:00Según acabo de leer, el que quiera hacer pruebecit...Según acabo de leer, el que quiera hacer pruebecitas de SQL Injection <A HREF="http://www.buayacorp.com/archivos/estamos-seguros-con-la-nueva-version-de-wordpress/" REL="nofollow">tiene miles y miles de webs para probar</A>.<BR/><BR/>Menos mal que WP es opensource y libre y todo eso, si no tendría más agujeros... ¿o no?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-69024827078672087412007-08-08T06:29:00.000+02:002007-08-08T06:29:00.000+02:00muy buena serie malignasalu2muy buena serie maligna<BR/><BR/>salu2BlackTigerXhttps://www.blogger.com/profile/05376454374607771065noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-36030833542209942392007-08-07T19:23:00.000+02:002007-08-07T19:23:00.000+02:00Ahí le has dado bastian, es lo que comenté yo en e...Ahí le has dado bastian, es lo que comenté yo en el post de la tercera parte.<BR/><BR/>Pensaba que en este último procedería a explicar las medidas de protección pero veo que no.NetVicioushttps://www.blogger.com/profile/04005221340226294302noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-768273515950089342007-08-07T17:19:00.000+02:002007-08-07T17:19:00.000+02:00Que digo yo, más que cómo protegerse, estos artícu...Que digo yo, más que cómo protegerse, estos artículos tratan cómo EXPLOTAR vulnerabilidades usando Blind SQL Injection, ¿no? Salvo el par de comentarios finales de este último artículo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-51622729039598961252007-08-07T14:22:00.000+02:002007-08-07T14:22:00.000+02:00La verdad, siempre me ha hecho gracia esto del SQL...La verdad, siempre me ha hecho gracia esto del SQL injection. Creía que lo único susceptible de este ataque era PHP, pero veo que también pasa lo mismo con ASP. (Bueno, aparte de lo que te permita el lenguaje, también hay que tener en cuenta la mala programación). He programado en java usando JDBC, y nunca me he preocupado por lo que puedan enviarme. Imagino que en .NET también se pueda programar igual. Si no, mal va...<BR/><BR/>Es más, si se es tan tonto (o si el lenguaje no permite otra cosa) como para programar concatenando cadenas al hacer los select a la BD, en lugar de pasar los datos por parámetro... Mal vamos. Ir a buscar seguridad en una solución así, es como buscar peras al olmo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-6411412325751046732007-08-07T12:48:00.000+02:002007-08-07T12:48:00.000+02:00Enhorabuena..Entonces ya has terminado tu tesina.....Enhorabuena..<BR/><BR/>Entonces ya has terminado tu tesina...<BR/><BR/>Un abrazo.5|5()|>Anonymousnoreply@blogger.com