Pages - Menu

viernes, 23 de febrero de 2018

SQL Injection para dummies (Tercera y última parte)

Buenas de nuevo.

En este tercer y último post sobre SQL Injection (por ahora) vamos a sacarle todo el jugo al asunto, y a la base de datos.

Una vez hemos hecho el reconocimiento sobre el sistema objetivo, vamos a intentar obtener los datos de más campos de la base de datos, no solamente los nombres y apellidos como obtuvimos con el “ ‘ or ‘1’=’1 “.

lunes, 19 de febrero de 2018

SQL Injection para dummies (Segunda parte)

Hola de nuevo.

Aquí tenemos la segunda entrada sobre SQL Injection. En la anterior nos quedamos en descubrir un parámetro vulnerable y el por qué de que esto sea así. Ahora vamos a pasar a jugar con la vulnerabilidad y a hacer cosas más vistosas.
Sabiendo la estructura exacta de la consulta SQL podríamos llevar a cabo ataques mucho más precisos, pero rara vez vamos a tener acceso al código a la hora de realizar un pentest. Por tanto, vamos a ir dando palos de ciego y viendo qué nos encontramos a medida que avanzamos con el ataque.

viernes, 16 de febrero de 2018

SQL Injection para dummies (Primera parte)

Buenas a todos, este es mi primer post en el blog tras el inicio de los C43S4RS. No sabía muy bien de qué hablaros puesto que mis compañeros del grupo tienen muy buenas ideas y proyectos para plasmar aquí, y por supuesto no quería pisarles ninguna, así que al final me he decidido a escribir sobre SQL Injection.

miércoles, 14 de febrero de 2018

Scripts de geolocalización en Python

Buenas a todos, hoy os voy a hablar de como podemos montarnos unos script de geolocalización haciendo uso de los datos de los usuarios que almacena Google en sus BBDD, si si, habéis leido bien, vamos a usar los datos de geolocalización que todos y cada uno de nosotros le damos a Google cada vez que llevamos nuestros teléfonos móviles en el bolsillo.

Introducción

Seguramente hayas utilizado Google Maps en alguna ocasión y te habrás dado cuenta que este funciona incluso sin tener activo el GPS, ¿cómo es posible que sepan nuestra posición sin GPS? pues muy sencillo, existen otras posibilidades para localizar a una persona sin hacer uso del GPS, estas son las torres de telefonía a las cuales se van conectando nuestros dispositivos o los puntos de acceso que tenemos a nuestro alrededor, los cuales es capaz de alcanzar nuestro teléfono.

No se si habéis leido alguna vez la Política de Privacidad de Google Location Services, seguramente que si. Os lo pongo para que sepáis que información cedemos a google por usar estos servicios:

"Si permite que un sitio Web obtenga su ubicación a través de este servicio, nosotros recogeremos la información en función de las características de su dispositivo: la información sobre los routers inalámbricos cerca de usted, el ID del móvil de las torres de telefonía más próximas, y la intensidad de tu wifi o la señal de celular. Esta información se utiliza para devolver una ubicación estimada al navegador que la solicita. Además en cada solicitud recopilamos también la dirección IP, el User-Agent y el ID único de su cliente. Esta información se utiliza para diferenciar las solicitudes, no para identificarlo."

lunes, 5 de febrero de 2018

Certified Ethical Hacker - CEH v9



Buenas a todos!!

Es un placer poder escribir mi primer post en este blog, el cual surge de un grupo de compañeros y profesionales de la seguridad y que se formó para participar en CTF's. Aunque debido al tiempo esto es lo que menos tiempo le podemos dedicar :P. No obstante, esto ya lo explicó Edu en el artículo https://c43s4rs.blogspot.com.es/2017/12/el-principio-de-los-c43s4rs.html ;)

Al grano!

Recientemente me examiné del CEH y publiqué una pequeña entrada en LinkedIn. Dicha entrada ha recibido varios comentarios y otros tantos por privado preguntandome detalles de esta certificación.