1.- Todo es mentira.
2.- Las cosas funcionan de casualidad.
3.- El mundo es un gran trapi.
Así que, tras estar reunidos con alguien que nos contaba lo que podríamos hacer en el futuro, lo que iba a ser, la oportunidad de, etc... Siempre decíamos esto es humo. Nada de futuribles, presente y actual. Nos funcionó bien. Hoy toca hablar de "Las cosas funcionan de casualidad".
En el mundo del desarrollo de las aplicaciones web hay algo que no deja de sorprenderme y es el impacto que aún tiene la sentencia mágica. ¿cual es esa sentencia mágica?.
Pues algo tan sencillo como esto:
Es tan graciosa y popular, que para unas conferencias sobre seguridad en aplicaciones web me regalaron una camiseta.
Supongo que la mayoría ya sabéis que es esto, pero para los que no os hago una versión reducida de la explicación. La idea es que el programador pide en un formulario en la página de login algo como esto:
Y luego crea una consulta SQL a la base de datos similar a esta:
Select id
from tabla_usuarios
where usuario='$usuario' and pass='$pass';
Si la consulta está mal construida, es decir, concatenadita, entonces la consulta mágica metida en el usuario o la pass o en ambos sitios hace que te cueles con el primer usuario.
Select id
from tabla_usuarios
where usuario='admin' and pass=''or '1'='1';
Vale, si alguien se come esto, es lo que nosotros llamamos:
¿Cual es la broma macabra de esto? Pues que sigue funcionando. Basta coger una página web y buscar la zona de administración, que siguen estando en los mismos sitios (/admin/, /privado, /gestion, ...) y probar. Coger el google y buscar programas que se llamen login.asp, login.php, privado.asp, privado.jsp, admin.php, .... y llevar en el cortapapeles la cadena mágica, sale la web, le cascas la cadena mágina y en unos 15 minutos tienes 5 o 6 sitios vulnerables.
Por favor, si tienes una zona privada, prueba la cadena mágica. Sólo como pequeño test de intrusión, y si te funciona, tira del cable de tu servidor, que tu sitio está para rehacerlo.
Una curiosidad...
ResponderEliminar¿si haces esto puede venir la benemérita a casa a hacerte un reconocimiento rectal o es una leyenda urbana?
¿en la legislación española meterse en un sitio para el que 'se supone que no tienes permiso' está contemplado como delito?
¿para cuándo un post sobre las debilidades de algunos CAPTCHA?
¿eh?
saludos malignos
Joder, pero si lo hacemos a posta para que sigais trabajando y dando la misma chapa la gente de seguridad. que desagradecido.
ResponderEliminarHay que ser bueno... no ser malo...
ResponderEliminarYo iba a poner algunos links en el post, pero me autocensuré, me debo estar haciendo mayor.
Hombre...hacerte un reconocimiento rectal no se...pero pillarte todos esos DvDs piratas que tienes por casa...xDDD
ResponderEliminarMaligno, te pongo una direccion de correo mía que quiero preguntarte algunas cosillas, mandame un mail cuando puedas :). Calendorn@gmail.com
Un saludo
Pienso que lo delictivo, aplicando LOPD y demás jergas, es tener un sistema inseguro argumentando que 'or'1'='1 es cosa de hackerianos y que sólo es un delito suyo. Lo es, desde luego, acceder a cualquier sitio para el que no tengas acceso permitido es delito. Pero tener información protegida y confidencial en el corcho de la recepción de tu empresa o en una caja de zapatos junto a los servicios también lo es. Espero que a la par de la técnica, la seguridad y por ende la auditoría sea un valor en alza.
ResponderEliminarPor cierto, muy gracios es Dans. Se le aplica el Teorema de Andrés: el que tiene cara de tonto, lo és.
Especialmente destacable sus estudios sobre la genética de la empresa XD. Que tio..
pf para eso solo hay q usar un rs :)
ResponderEliminarDisculpa, quisiera que me ayudaras en algo, te dejo mi correo "jeancarlocaro@gmail.com"
ResponderEliminarInteresante que el tema siga de moda tanto tiempo después... y siga habiendo forms, apis, servicios que no validen la entrada. En fin.
ResponderEliminarPor si acaso creé mi propia versión, sobre la protección de APIs y servicios SOA contra inyección de código
Hola, te dejo mi mail porque necesito un poco de ayuda (es un poco urgente en tiempo)
ResponderEliminarcristian.contrerasv90@gmail.com
Alguien sabe si una pag web con terminación .html es vulnerable a sql injection?
ResponderEliminarEste comentario ha sido eliminado por el autor.
EliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarhttps://inyeccion-sql.blogspot.com.es/2016/11/inyeccion-sql-primer-tema-como.html?m=1
ResponderEliminarFecha estelar, Enero 02 2018...
ResponderEliminarAun hay sitios sin protección para esta vulnerabilidad...
Interesante. Lo más fácil seria no usar el usuario admin
ResponderEliminarYo estuve intendolo en paginas porno para tener contenido premium :v
ResponderEliminarNo funciono uu