Tag Archive SQLi

BySin Rostro

La Receta para SQLi (para novatos)

Hola Hackers en esta entrada veremos una inyección SQL muy básica es para novatos (así que si ya eres un viejo lobo en estos temas tal vez te parezca un poco aburrido), veremos un poco de teoría, no mucha ya saben que casi no me gusta y un pequeño ejemplo para que quede un poco mas claro.

LOS INGREDIENTES.

  • SQL
  • INYECCIONES SQL
  • Algunos comandos y funciones

 

SQL

Structured Query Language, traducido al español como Lenguaje de Consulta Estructurado es un lenguaje de programación estándar e interactivo para obtener información desde una base de datos y para actualizarla. Dicho en una manera mas amena y entendible podemos decir que con SQL podemos interactuar con una base de datos modificarla y hasta eliminar todo su contenido. Basaremos este tutorial en MYSQL.

INYECCIONES SQL

EL SQLi es una vulnerabilidad muy antigua pero muy común, que ocurre al no hacer una correcta verificación o delimitación de los datos de entrada que van dirigidos hacia el servidor y posteriormente a la base de datos. Por ende los datos de entrada que no se verifican deben ser comandos validos de SQL. Existen 2 métodos de inyección el GET y POST.

Algunos comandos y funciones

Ahora veremos algunos comandos que nos podrán servir, no los veremos a fondo ya que no es un mini curso de SQL. Pero esta demás saber que existen muchos mas comandos y funciones que los que utilizaremos. Además también existen parámetros que se pueden aplicar a cada comando/funciones como el de DISTINCT a la función GROUP_CONCAT, en fin no nos toca eso.

  1. UNION  – se usa para combinar el resultado de un numero de comandos
  2. SELECT – se usa para seleccionar datos
  3. INSERT – se usa para agregar datos
  4. DELETE – se usa para eliminar datos
  5. UPDATE – se usa para actualizar datos existentes
  6. GROUP_CONCAT – se usa para concatenar todos los registros (no importa si no entienden bien mas adelante se apreciara mejor)
  7. ORDER BY – ordena los registros de la selección actual.
  8. Los demas que usaremos son más sencillos de entender.

Read More

Consultor en Ciberseguridad, analisis de malware, BlackHat, pentester, amante de Python, Hardware, IoT y los Gadges.