SQL INJECTION

    Seguridad Web ¿eres parte del problema?

    La empresa Cenzic ha elaborado un completo informe detallando las amenazas y los números relacionados con la seguridad Web en 2009. Puedes descargar todo el documento en PDF desde aquí.

    Voy a intentar hacer un pequeño resúmen con lo más interesante de este fantástico artículo de Smashing Magazine. Voy a mantener en inglés el nombre de los ataques para evitar confusiones, ya que es su terminología habitual.

    Lo primero es saber que significa URI: Uniform Resource Identifier. Es la forma en la que introduces la ruta de un fichero en una URL en tu navegador, por ejemplo: 

    Jan 16, 2010
    RedesSeguridadHacking

    Incidentes de seguridad

    hack

    Muchos son los sitios (telegraph, bbc, etc ) que se han hecho eco de la intrusión de hotmail, donde se publicaron miles de cuentas de usuarios con sus respectivas contraseñas. Pero Microsoft nos ha sido el único afectado, para ser que Amazon también sufrió este fin de semana otro tipo de ataque. En este caso una denegación de servicio distribuida (DDoS) en uno de sus servidores en la nube. Concretamente BitBucket, que se mantuvo unas 19 horas fuera de servicio (theRegister). Pero aquí no queda la cosa, y el más sorprendente de todos es la intrusión producida en la NSA, la que fue comprometido por una inyección de SQL (pantallazo la modificación). En fin, que está visto y comprobado que no importa como te llames ni que presupuesto tengas, todos estamos expuestos.

    Oct 5, 2009
    HackingSeguridad

    DVWA

    hack

    DVWA o Damn Vulnerable Web Application es una aplicación web con ciertas vulnerabilidades creadas a propósito. Es una aplicación ideal para enseñar técnicas de penetración o incluso para nuestra práctica personal. Entre otras, estas son algunas de las vulnerabilidades que puedes encontrar:

    SQL Injection XSS (Cross Site Scripting) LFI (Local File Inclusion) RFI (Remote File Inclusion) Command Execution Upload Script Login Brute Force

    Muy importante, no instales esta aplicación en tu hosting o algún otro host público a menos que sepas lo que estás haciendo.

    May 27, 2009
    HackingSeguridad

    Kapersky ¿hacked?

    hack

    Según aparece en hackersblog.org alguien que se hace llamar Unu, dice haber accedido a la base de datos de unas de las compañías más grandes de antivirus con una simple inyección de código SQL. Según dice el intruso, tuvo acceso a todo tipo de datos, tales como: usuarios, códigos de activación, lista de errores, administradores, tienda, etc. Hasta ahora, Kapersky ni ha confirmado, ni a desmentido la intrusión. Personalmente pienso que una compañía como Kapersky, que se dedica a velar por la seguridad de los usuarios, pueda cometer este tipo de errores, aunque hoy en día no pondría la mano en el fuego nor nadie.

    Feb 8, 2009
    Sin categoríaHackingvirusSeguridad