Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon
Mostrando entradas con la etiqueta sqli. Mostrar todas las entradas
Mostrando entradas con la etiqueta sqli. Mostrar todas las entradas

PostHeaderIcon SQLi autenticada en Koha pone en riesgo la base de datos desde la interfaz de personal

domingo, 15 de marzo de 2026 | Publicado por el-brujo | Editar entrada

Vulnerabilidad CVE-2026-31844 en Koha permite inyección SQL autenticada desde la interfaz de personal afectando al módulo de gestión de sugerencias por fallo en el parámetro displayby en suggestion.pl, exponiendo la base de datos a riesgos.




Leer más »

Etiquetas: , , , , , | 0 comentarios

PostHeaderIcon Evasión avanzada de SQLi (IDS/WAF): técnicas manuales explicadas

martes, 2 de septiembre de 2025 | Publicado por el-brujo | Editar entrada

Detección e inyección SQL manual, con algunos payloads de evasión de IDS/WAF; y es que la inyección SQL (SQLi) sigue siendo una de las vulnerabilidades más explotadas. A medida que los IDS (Sistemas de Detección de Intrusos) y los WAF (Web Application Firewall) mejoran, nosotros debemos recurrir a técnicas de evasión para burlar estos sistemas. Y es por esto, que en este post me centraré en algunos ejemplos prácticos de cómo evadir un IDS mediante SQLi en Oracle y MySQL, la mayoría de los cuales hemos utilizado en auditorias donde hemos encontrado algún WAF. Cabe mencionar, además, que otro de los motivos por los que preferimos el uso de inyecciones manuales es porque reduce significativamente el número de peticiones realizadas al servidor.

 


Leer más »

Etiquetas: , , , | 0 comentarios

PostHeaderIcon Una vulnerabilidad SQLi compromete la seguridad de los aeropuertos y permite acceder a las cabinas de los aviones

viernes, 13 de septiembre de 2024 | Publicado por el-brujo | Editar entrada

La ciberseguridad es un tema a tratar muy importante, pues cada vez tenemos más dispositivos electrónicos que pueden ser vulnerados, además de los ordenadores y móviles. Así es como hemos podido ver brechas de seguridad en sistemas como las cerraduras de puertas de hoteles, donde era bastante sencillo aprovecharse del exploit. También se ha encontrado una forma sencilla de acceder a cabinas de aviones tras un fallo de la TSA y la aparición de una vulnerabilidad SQL que permitía ignorar la seguridad.



Leer más »

Etiquetas: , , | 0 comentarios

PostHeaderIcon Vulnerabilidad crítica en plugin WP-Automatic

martes, 21 de mayo de 2024 | Publicado por el-brujo | Editar entrada

Delincuentes informáticos están atacando sitios web que utilizan el conocido complemento de WordPress Automatic. El ataque intenta explotar una vulnerabilidad de alta gravedad que permite una toma total del control de WordPress.

 


Leer más »

Etiquetas: , , , | 0 comentarios

PostHeaderIcon La Generalitat Catalunya sufre un fallo de seguridad y deja al descubierto miles de correos y contraseñas

miércoles, 25 de noviembre de 2020 | Publicado por el-brujo | Editar entrada

La Generalitat de Cataluña ha sufrido una vulnerabilidad informática en al menos tres de sus páginas webs. Al menos 5.000 registros con direcciones de correos electrónicos y contraseñas han estado al descubierto por un fallo de seguridad de tipo SQL Injection, vulnerabilidad que explicaremos más adelante. El servicio de TI de la Generalitat mantiene abierta una investigación para detectar si ha habido robo de datos. Una librería desactualizada sería el problema, el mismo que proporcionó un robo de contraseñas en Vueling. Las vulnerabilidades fueron descubiertas por el experto en ciberseguridad y bug hunter -cazador de bugs pakistaníTouseef Gul.



Leer más »

Etiquetas: , , , , , | 0 comentarios

PostHeaderIcon La9deAnon hackea la Cámara de Comercio de Madrid

jueves, 22 de diciembre de 2016 | Publicado por el-brujo | Editar entrada

"La seguridad informática de este país nunca nos defrauda". Con este mensaje el colectivo Anonymous y autodenominado La Nueve acaba de confirmar el ataque a la web de la Cámara de Comercio de Madrid. La página mostraba  un gran banner en la parte superior con el textoCuestiónalo todo. La Nueve. We are Anonymous, Legion, One. Expect us. Varias páginas internas aparecen también con textos e imágenes infiltradas. Y no solo eso: quienes han llevado a cabo el ataque aseguran haber accedido también a la base de datos de la Cámara de Comercio contenida en su servidor web.

Leer más »

Etiquetas: , , , , | 0 comentarios

PostHeaderIcon Tutorial - Manual SQLmap: ataques SQLi - Inyección SQL

miércoles, 18 de junio de 2014 | Publicado por el-brujo | Editar entrada

SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar peticiones a los parámetros de una URL que se le indiquen, ya sea mediante una petición GET, POST, en las cookies, etc. Es capaz de explotar todo tipo de SQLi como union-base, time-base-blind, base-blind-injection, heavy-queries, etc.



Leer más »

Etiquetas: , , , , , , , , , , , | 2 comentarios

PostHeaderIcon XSSF - Cross Site Scripting Framework

viernes, 13 de junio de 2014 | Publicado por el-brujo | Editar entrada

El Cross-Site Scripting Framework (XSSF) es una herramienta de seguridad diseñada para convertir la tarea de encontrar una vulnerabilidad XSS de un manera mucho más sencilla. El proyecto tiene por objetivo demostrar los peligros reales de las vulnerabilidades XSS y divulgarizar su explotación.



Leer más »

Etiquetas: , , , , , , , , , , , , , , , | 0 comentarios