RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Posts Tagged ‘ el-palomo ’

mini

Este es el primer post de una serie de entradas (al menos eso espero) sobre las inyecciones SQL, los objetivos de las próximas entradas son las siguientes:

  1. Entender como funcionas las inyecciones SQL
  2. Entender los diferentes mecanismos y técnicas para realizar inyecciones SQL
  3. Automatizar nuestros propios ataques con Python
  4. Ocuparme en algo y no estar aburrido (ese es un objetivo sólo para el autor de este Blog)

La idea es que ustedes puedan realizar sus propias inyecciones sin necesitar de una herramienta cuando se encuentren alguna inyección fuera de lo convencional, es decir, puedan ustedes realizar su propio script y automatizar el ataque. La motivación para realizar estos post se debió a que he escuchado a tres personas que se están preparando para rendir el examen de CEHv8 expresar frases como estas:

*******************************************
Frase 1: “Pucha…. toda la parte de scaneo, enumeración, análisis de vulnerabilidades me lo se pero donde tengo problemas es en la parte web”
Frase 2: “Yo no programo hace muuuucho por eso no me siento preparado para las preguntas sobre aplicaciones web”
Frase 3: “Deberían quitar la parte de seguridad de aplicaciones y al toque doy el examen” – la frase más divertida de todas.
*******************************************

Consideraciones para el curso

  1. Cada clase se adjuntará un archivo donde está el código de la aplicación web y la base de datos requerida.
  2. La primera parte del curso es teoría (lo siento pero es necesario),es decir, cómo es que funciona o se realiza la inyección de manera conceptual (esta es la parte más importante)
  3. Crearemos nuestros propio script para automatizar el ataque, el script lo estoy haciendo en Python. De pronto toca aprender algo de Python pero tampoco vamos a salir unos expertos en esto, no es la idea.
  4. Finalmente usaremos SQLMAP u otra herramienta para incluirla dentro del estudio

Clase 1: Inyecciones basadas en UNIONES (inyecciones NORMALES)

Como lo veremos más adelante existen diferentes mecanismos para realizar inyecciones SQL, conforme avancemos con las entradas las iremos explicando así que no desesperen. Comenzaremos con dos (02) o hasta tres (03) videotutoriales (es que aun no se cuanto me pueda tardar en explicar todo) sobre las inyecciones basadas en uniones o como también la conocen algunos, “Inyecciones Normales”. Estas inyecciones sirven para explicar absolutamente todo lo básico sobre las inyecciones SQL así que sin más preámbulos iniciemos.

Los puntos a tocar en la Clase 1 son:

  1. Concepto de SQLi (SQL Injection)
  2. Entender como funciona MySQL
  3. ¿Cómo identificar las inyecciones SQL?
    - Concatenaciones
    - Operadores matemáticos
    - Errores
  4. Entendiendo los distintos tipos de sentencias SQL

El material utilizado:

  1. El código de la aplicación web:  [DESCARGAR AQUÍ]
  2. La base de datos de la aplicación: [DESCARGAR AQUÍ]
  3. La presentación en PREZI: [DESCARGAR AQUÍ]

Aquí les dejo el primero videotutorial. Hasta la próxima. Saludos.

Popularity: 23% [?]

Llevo años haciendo presentaciones en Power Point de manera incansable, comencé en la universidad haciendo de manera obligada slides tras slides, amenazado por profesores que  juraban que si no lo hacíamos quedaríamos pasmados y turulatos cuando veamos su acta de notas atacada con por un ataque de lapiceros rojos.

Las presentaciones ahora – al menos para mi – son cosa de todos los días, al terminar una consultoría corresponde hacer una presentación con el resumen de actividades realizadas, en el trabajo para exponer un requerimiento y en la maestría para poner punto final al trabajo que supuestamente nos ha llevado todo el ciclo realizar – pero que en realidad sólo nos ha tomado un par de semanas realizar.

Lo cierto es que hacer presentaciones siempre tiene por objetivo una cosa, ya sea si lo haces como estudiando o en algún trabajo, su objetivo es VENDER (o convencer según convenga el término) que lo que hemos realizado está super bien, que nadie en el mundo lo pudo hacer mejor que nosotros y sobretodo que nos PAGUEN sin chistar lo acordado (o nos aprueben el curso), es decir, nuestra presentación hablará por nosotros todo el tiempo y deberá responder preguntas sin siquiera mencionar una palabra y sobre todas las cosas – como dice mi amigo @SuperMan – debe atarantar y dejar anonadados a la parte evaluadora.

PREZI: Adiós Power Point

blog_final

 

Hace unas semanas vi una exposición de mi amigo @BGL que me llamo la atención de sobremanera, ya no eran las clásicas y aburridas diapositivas que pasan una tras otra – sin pena ni gloria – sino que era una mezcla de mapa mental con alto nivel de animación, debo de confesar que me concentré más en el diseño de la presentación que en el contenido de la misma, tras 05 o 10 minutos de haber mostrado el contenido de su innovadora presentación me di cuenta que no tenía la más mínima idea de lo que había expuesto; la presentación culminó, no supe que preguntar y sospecho que el profesor tampoco (profesor si esta leyendo esto es sólo broma), es @BGL se llevo fácilmente una nota aprobatoria.

Prezi (http://prezi.com) es una página web que permite hacer presentaciones dinámicas – rompiendo con el viejo esquema de Power Point, Prezi resulta una mezcla de mapas mentales combinada una versión mejorada de Power Point dando como resultado un poderoso presentador de trabajos e ideas; su manera de trabajar es súper sencilla e intuitiva por lo que casi no requiere más de 10 minutos de inversión para aprender a usarla.

Lamentablemente, como casi todo en la vida, lo bueno tiene un costo pero para alegría nuestra también tiene una versión pública que podemos aprovechar muy bien.

prezi

Para poder postear este tema y que no sea sólo teórico realicé hoy mi primera presentación con PREZI y modestia aparte creo que para ser la primera me ha quedado re-bien. Aquí la comparto con ustedes y les dejo unos enlaces que encontré en YouTube para aprender a utilizar Prezi. Saludos.

 

Pueden ver la presentación aquí también.

 
***************************************
Aprende hacer tu presentación en PREZI.COM
 

Popularity: 34% [?]

El-Palomo ya está en TWITTER y publicaré todos los nuevos post del blog que colocaré y todos los links interesantes que suelo leer en mis feeds. No olvides de seguirnos en:

https://twitter.com/ELPalomo_Blog

follow_elpalomo

Popularity: 9% [?]

BlackSheepTranquilos, no están locos y nunca lo estuvieron. Si algunos fueron acusados de paranoicos, fueron vistos como bichos raros y fueron examinados de pies a cabeza como buscando alguna explicación lógica para no tildarnos de locos, este video reivindicará todas precauciones que  tomamos al conectarnos a Internet.

El secuestro de sesiones es un tema muy pocas veces tocado, existe poca documentación en ingles y menos aún en español por lo que estoy seguro el video dará muchas luces sobre el secuestro de sesiones de aplicaciones web.

El domingo desperté con el objetivo de hacer el videotutorial sobre secuestro de sesiones pero la televisión y el clásico del futbol peruano dilataron la creación del video. La desafortunada decisión de postergar el video había creado un fuerte eco en mi cabeza que tenía planeado no dejarme dormir tranquilamente hasta no cumplir el objetivo, de pronto sentí a media noche  un ansioso emprendimiento por realizar el videotutorial, parece una locura, lo sé, pero no podía dormir sin hacer el videotutorial que me había propuesto para ese día. Me levanté a las 0:15 am del lunes y terminé a las 01:55 am de editar todo el video, vaya manera de terminar un domingo y comenzar el lunes.

 

El video tutorial contiene:

  • Introducción al secuestro/robo de sesiones: Teoría
  • Ejercicio de robo de sesiones de manera manual
  • Secuestro/robo de sesiones a Hotmail
  • Tools hijacking Hamster y Ferret – Facebook hijacking
  • Tools hijacking Greasemonkey – Facebook hijacking

Pueden descargar la presentación del video tutorial AQUÍ

UPDATE 16/05/2012:

Muchas personas me han pedido que coloque el código web de la aplicación que se muestra en el videotutorial, lo pueden descargar aquí: AQUÍ

 

Popularity: 31% [?]

Nuevo Blog!

Noviembre 25, 2007 | 1 Comments | Editorial

Bueno estoy estrenando nuevo Blog!!, tome esta decision debido a que wordpress.com me limita muchisimo con los plugins, themes, etc. Estoy mas entusiasmado que nunca creo que el theme esta muy bonito y vaya que me costo encontrar uno simple y que tenga todos lo que buscaba. Bueno colocare toda la informacion que estaba en mi blog pasado (http://youta18.wordpress.com)  pero antes debo agradecerles a todos los que visitaron ese blog ya que en 2 meses aprox hize cerca de 2500 visitas!

Popularity: 3% [?]