Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
-
▼
diciembre
(Total:
21
)
- Cables USB tipo C
- Graves vulnerabilidades en el sistema de entreteni...
- Hackean la cuenta de Twitter de Netflix, Marvel y ...
- La9deAnon hackea la Cámara de Comercio de Madrid
- Una banda de criminales rusos ganan entre 3 y 5 mi...
- Lo más buscado en Google en 2016: Google Zeitgeist
- Libro gratuito: Hacking de redes con Python y Scapy
- Cineastas y periodistas piden a los fabricantes de...
- WhatsApp permitirá eliminar mensajes ya enviados
- Yahoo! confirma que fue hackeado de nuevo y fueron...
- Encuentran nuevos troyanos en el firmware de teléf...
- 34 detenidos en Europa por lanzar ataques DDoS y n...
- CERT recomienda a los usuarios dejar de usar dos r...
- Análisis forense en imágenes digitales
- La mitad de empresas afectadas por ransomware, pag...
- Se cumplen 20 años del artículo "Smashing the Stac...
- Así fue descrita la primera inyección SQL de la hi...
- Se alquila botnet Mirai formada por 400 mil dispos...
- La Operación Avalanche contra el fraude se salda c...
- Hackean el correo del autor del ransomware que inf...
- El gusano Mirai es el responsable del ataque a los...
- ► septiembre (Total: 38 )
-
▼
diciembre
(Total:
21
)
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Así fue descrita la primera inyección SQL de la historia
sábado, 3 de diciembre de 2016
|
Publicado por
el-brujo
|
Editar entrada
En 1998, el afamado hacker Jeff Forristal, bajo el seudónimo Rain Forest Puppy, fue el primero en describir, en un artículo del conocido e-zine Phrack, una novedosa técnica —para aquel momento— en la que, en un equipo que corría Windows NT, con un servidor web IIS 4.0 y montando un servidor de datos Microsoft SQL Server 6.5, a través de conexiones ODBC se podían ejecutar consultas y comandos utilizando lenguaje SQL. Aquel escrito, titulado NT Web Technology Vulnerabilities, acababa de poner los cimientos para lo que aún hoy sigue siendo uno de los ataques web más utilizados: la inyección SQL, o SQL injection (SQLi). Puede consultarse aquel documento completo en el propio sitio web de Phrack, en el mismo artículo también se describe la vulnerabilidad LFI (Local File Inclusion)
Los inicios del lenguaje SQL (Structured Query Language) de consulta de datos se sitúan en el año 1986, cuando el Instituto Nacional Estadounidense de Estándares (ANSI) realizó una primera publicación de sus especificaciones sobre cómo operar con bases de datos relacionales. Sin embargo, no fue hasta el año 1999 cuando este lenguaje se convirtió en lo que se conoce actualmente, esto es, cuando se añadieron expresiones regulares y la posibilidad de realizar consultas recursivas.
En aquel año 1999, ya estaba ampliamente extendido el uso de PHP y el contenido dinámico a nivel de páginas web con MySQL. La primera versión de MySQL surgió en el año 1995, y PHP apareció en 1997 (publicado oficialmente en 1998). 1999 fue, además, el año de nacimiento de CVE (Common Vulnerabilities and Exposures) para recoger y formalizar miles de vulnerabilidades informáticas.
Pues sólo un año antes, en 1998, el afamado hacker Jeff Forristal, bajo el seudónimo Rain Forest Puppy, fue el primero en describir, en un artículo del conocido e-zine Phrack, una novedosa técnica —para aquel momento— en la que, en un equipo que corría Windows NT, con un servidor web IIS 4.0 y montando un servidor de datos Microsoft SQL Server 6.5, a través de conexiones ODBC se podían ejecutar consultas y comandos utilizando lenguaje SQL. Aquel escrito, titulado NT Web Technology Vulnerabilities, acababa de poner los cimientos para lo que aún hoy sigue siendo uno de los ataques web más utilizados: la inyección SQL, o SQL injection (SQLi). Puede consultarse aquel documento completo en el propio sitio web de Phrack.
La vulnerabilidad consiste en conseguir añadir (inyectar)
código SQL en una aplicación (normalmente una aplicación Web) para
modificar la forma en que se realizan consultas a una base de
datos y evadir los mecanismos de seguridad existentes, ejecutar comandos
en el servidor, recuperar datos sensibles, etcétera.
Cuando un compañero investigador de Forristal envió un mensaje a Microsoft explicando el problema que habían descubierto, su respuesta fue bastante hilarante: “lo que nos describe usted no es un problema, así que no se preocupe por hacer nada para solucionarlo”. Hoy día, dieciocho años después de su primera divulgación pública, la SQLi se encuentra, repetidamente, en el puesto número uno de vulnerabilidades en el informe OWASP Top 10, que se publica cada tres años por la Fundación OWASP (Open Web Application Security Project) y que controla las perores amenazas a las que se enfrentan los sitios web en la actualidad.
Casi veinte años después, los motores de lenguaje SQL han evolucionado mucho, pero la destreza del programador de consultas es prácticamente lo único que cuenta para evitar estos ataques. La destreza y, también, la experiencia en estas lides, sabiendo en todo momento dónde debe poner las trabas necesarias para que un atacante externo no tenga acceso a la información devuelta por según qué consultas maliciosas.
Fuente:
http://www.teknoplof.com/2016/12/01/asi-fue-descrita-la-primera-inyeccion-sql-la-historia/
Los inicios del lenguaje SQL (Structured Query Language) de consulta de datos se sitúan en el año 1986, cuando el Instituto Nacional Estadounidense de Estándares (ANSI) realizó una primera publicación de sus especificaciones sobre cómo operar con bases de datos relacionales. Sin embargo, no fue hasta el año 1999 cuando este lenguaje se convirtió en lo que se conoce actualmente, esto es, cuando se añadieron expresiones regulares y la posibilidad de realizar consultas recursivas.
En aquel año 1999, ya estaba ampliamente extendido el uso de PHP y el contenido dinámico a nivel de páginas web con MySQL. La primera versión de MySQL surgió en el año 1995, y PHP apareció en 1997 (publicado oficialmente en 1998). 1999 fue, además, el año de nacimiento de CVE (Common Vulnerabilities and Exposures) para recoger y formalizar miles de vulnerabilidades informáticas.
Pues sólo un año antes, en 1998, el afamado hacker Jeff Forristal, bajo el seudónimo Rain Forest Puppy, fue el primero en describir, en un artículo del conocido e-zine Phrack, una novedosa técnica —para aquel momento— en la que, en un equipo que corría Windows NT, con un servidor web IIS 4.0 y montando un servidor de datos Microsoft SQL Server 6.5, a través de conexiones ODBC se podían ejecutar consultas y comandos utilizando lenguaje SQL. Aquel escrito, titulado NT Web Technology Vulnerabilities, acababa de poner los cimientos para lo que aún hoy sigue siendo uno de los ataques web más utilizados: la inyección SQL, o SQL injection (SQLi). Puede consultarse aquel documento completo en el propio sitio web de Phrack.
Cuando un compañero investigador de Forristal envió un mensaje a Microsoft explicando el problema que habían descubierto, su respuesta fue bastante hilarante: “lo que nos describe usted no es un problema, así que no se preocupe por hacer nada para solucionarlo”. Hoy día, dieciocho años después de su primera divulgación pública, la SQLi se encuentra, repetidamente, en el puesto número uno de vulnerabilidades en el informe OWASP Top 10, que se publica cada tres años por la Fundación OWASP (Open Web Application Security Project) y que controla las perores amenazas a las que se enfrentan los sitios web en la actualidad.
I worked with a fellow WT'er on this problem. He did the good thing and told
Microsoft, and their answer was, well, hilarious. According to them,
what you're about to read is not a problem, so don't worry about doing
anything to stop it.
Casi veinte años después, los motores de lenguaje SQL han evolucionado mucho, pero la destreza del programador de consultas es prácticamente lo único que cuenta para evitar estos ataques. La destreza y, también, la experiencia en estas lides, sabiendo en todo momento dónde debe poner las trabas necesarias para que un atacante externo no tenga acceso a la información devuelta por según qué consultas maliciosas.
Fuente:
http://www.teknoplof.com/2016/12/01/asi-fue-descrita-la-primera-inyeccion-sql-la-historia/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.