ingeniero
Páginas: 3 (679 palabras)
Publicado: 10 de septiembre de 2013
Blind SQL Injectión
Práctico
1
Hola:
Hace unos días prometí que publicaría un documento en el foro que nos ayudaría a
entender mejor un Blind SQL Injection.
La idea principal no esexplicar un Blind SQL Injection, la idea es poder "tocar" un
Blind SQL Injection.
De esta manera podremos jugar con el, introducir "nuestras cosas" y lo más importante,
comprobar como reacciona anteellas.
Siempre, claro, en un escenario propio. En un escenario que nosotros controlemos,
podamos manipular y configurar. De esta forma podremos habilitar/deshabilitar
opciones, quitar/añadir datos,etc...
Teniendo todo controlado entenderemos mejor el comportamiento o la hora de realizar
el ataque.
Pues es de lo que se trata.
Lo que vamos a hacer es montar un Servidor WEB con APACHE + PHP +MySQL.
Crear una base de datos y crear un fichero en PHP que realice un consulta con la Base
de datos vulnerable...
Para no liarnos mucho y para acabar antes, podemos instalar un Appserv, que lo quehace es instalarlo todo junto (APACHE + PHP + MySQL). Y así nos evitamos otros
quebraderos de cabeza.
http://www.appservnetwork.com/index.php?newlang=spanish
La instalación del AppServ no tieneninguna dificultad. Eso si, apuntar o recordar las
contraseñas que utilicéis.
Una vez que tenemos instalado el servidor, lo arrancamos. A mi me gusta utilizar el
Apache Monitor, que podéis encontraren:
Inicio - Todos los programas - AppServ - Control Server by Service - Apache Monitor.
2
Abrimos nuestro navegador favorito y escribimos en la barra de direcciones:
http://localhost
Si todoha ido bien tendríamos que ver todos los ficheros alojados en nuestro servidor
WEB.
Para insertar ficheros en el servidor tendremos que introducirlos dentro de la carpeta
WWW. Que por defectoencontraremos en:
C:\Appserv\www
Recordar que los ficheros con nombre index son ejecutados directamente por el
servidor.
Para hacer más cómodo nuestro acceso al servidor recomiendo renombrar el...
Práctico
1
Hola:
Hace unos días prometí que publicaría un documento en el foro que nos ayudaría a
entender mejor un Blind SQL Injection.
La idea principal no esexplicar un Blind SQL Injection, la idea es poder "tocar" un
Blind SQL Injection.
De esta manera podremos jugar con el, introducir "nuestras cosas" y lo más importante,
comprobar como reacciona anteellas.
Siempre, claro, en un escenario propio. En un escenario que nosotros controlemos,
podamos manipular y configurar. De esta forma podremos habilitar/deshabilitar
opciones, quitar/añadir datos,etc...
Teniendo todo controlado entenderemos mejor el comportamiento o la hora de realizar
el ataque.
Pues es de lo que se trata.
Lo que vamos a hacer es montar un Servidor WEB con APACHE + PHP +MySQL.
Crear una base de datos y crear un fichero en PHP que realice un consulta con la Base
de datos vulnerable...
Para no liarnos mucho y para acabar antes, podemos instalar un Appserv, que lo quehace es instalarlo todo junto (APACHE + PHP + MySQL). Y así nos evitamos otros
quebraderos de cabeza.
http://www.appservnetwork.com/index.php?newlang=spanish
La instalación del AppServ no tieneninguna dificultad. Eso si, apuntar o recordar las
contraseñas que utilicéis.
Una vez que tenemos instalado el servidor, lo arrancamos. A mi me gusta utilizar el
Apache Monitor, que podéis encontraren:
Inicio - Todos los programas - AppServ - Control Server by Service - Apache Monitor.
2
Abrimos nuestro navegador favorito y escribimos en la barra de direcciones:
http://localhost
Si todoha ido bien tendríamos que ver todos los ficheros alojados en nuestro servidor
WEB.
Para insertar ficheros en el servidor tendremos que introducirlos dentro de la carpeta
WWW. Que por defectoencontraremos en:
C:\Appserv\www
Recordar que los ficheros con nombre index son ejecutados directamente por el
servidor.
Para hacer más cómodo nuestro acceso al servidor recomiendo renombrar el...
Leer documento completo
Regístrate para leer el documento completo.