Sql Injection

En esta entrada voy a hablar sobre el ataque más conocido pero que aun así no deja de ser común.

El ataque de Sql Injection es una de las vulnerabilidades más comunes y más delicadas ya que nos puede revelar usuario y contraseña de administración de la pagina web.

Las vulnerabilidades por inyeccion de SQL se caracterizan por tener un vector de ataque muy sencillo, el atacante simplemente envía un texto a un interprete. Así mismo es una vulnerabilidad frecuente y dependiendo de los casos, no es difícil detectarla. La última característica a mencionar es que tienen un impacto muy grande en las aplicaciones atacadas.

El ataque consiste en incluir un carácter especial  mejor conocida la ' o un %27 que al final es lo mismo al final de la Url.

Bueno este ataque se puede realizar de forma manual o automatizada con herramientas, Ala hora de la verdad es mejor hacerla con herramienta ya que te ahorras tiempo y vas a llegar a la misma información.

Si desear hacerla de forma manual puedes leer el siguiente articulo Sql Injection de forma manual.

Las herramientas más comuenes para ese ataque son Havij y SqlMap.

Si deseas saber como funciona Havij pueden ver ese vídeo.

Y si quieren hacerlo con SqlMap que para mi es la mejor :D pueden ver Este video.

Como todo los que hemos realizado ese tipo de ataques nos presentamos con el inconveniente de panel de administración pueden usar este escript en python.

Y aveces o la mayoria de veces nos lanza la contraseña encriptada podemos usar Hash Identifier.

Bueno espero que les sea de utilidad esta información los invito a dejar sus comentarios.