seja bem vindo ao forum eof, caso nao seja cadastrado se cadastre para poder visualizar todo o conteudo ^^

Você não está conectado. Conecte-se ou registre-se

 » Defacement » Tutorial / Dicas / Videos » Quem descobriu as injeções de SQL?

Quem descobriu as injeções de SQL?

Ver o tópico anterior Ver o tópico seguinte Ir em baixo  Mensagem [Página 1 de 1]

1 Quem descobriu as injeções de SQL? em Dom Ago 03, 2014 11:25 am

Narcochaos Newborough

avatar
colaborador
colaborador
Fala ai gurisada,bom hoje vamos falar sobre Sql Injection quem nunca ouviu falar sobre a falha mais fácil de ser explorada em sites web não é mesmo,em qualquer auditoria web podemos encontrá-la.
Com Sql injection podemos obter dado do banco de dados do site que queremos invadir ,seja só para fins educativos ou para fins como o compromisso total do sistema(famoso deface).

Quem primeiro mencionou a injeção de SQL?

O nome do cara é Rain Forest Puppy cujo o nome é Jeff Forristal (@j4istal)

[Você precisa estar registrado e conectado para ver esta imagem.]

Sem falar que o cara manja muito de android,Jeff é um pesquisador de segurança que passou mais de uma década década ligado ao mundo da segurança em diferentes aspectos, e está atualmente trabalhando na bluebox a fim de investigar vulnerabilidades em dispositivos móveis.

Entre suas contribuições destaca-se, entre outros, a ferramenta Whisker , das primeiras aplicações para análise de vulnerabilidades da web.
Durante uma auditoria de um sistema NT, um serviço web que interage com um banco de dados MS SQL Server 6.5 foi encontrado, e analisadando a possibilidade ele percebeu que era possível executar os ataques .

Além disso, como eu não podia ver o código-fonte do próprio julgamento, pensado para incluir hífen para impedir a execução de código de volta para o que ele introduziu.
Porque um site que permite que você insira valores para os parâmetros encontrados realizando buscas, pensado para executar instruções SQL executar consultas após a aplicação de concatenar essa consulta com o código-fonte original.

Curiosamente, um dos seus colegas contactou a Microsoft para relatar sobre esta nova gama de possibilidades oferecidas pela aplicação vulnerável e o banco de dados MS SQL Server. Microsoft não considerou um problema, e deixou acontecer.

Como um pós-escrito seu artigo, que grava as recomendações de acordo com as vulnerabilidades descobertas, uma das quais é:

- Don't assume user's input is ok for SQL queries.

Que traduzido significa:

- Não assuma que os valores digitados pelo usuário são sempre apropriados em instruções SQL.

Recomendação que, ainda hoje, não é levado em conta, quer através do qual ação é tomada, levando além de ataques de SQL Injection, código também famosos xss e muitas vulnerabilidades causadas pela validação indevida de parâmetros.

Da só uma olhada no cara se apresentando na Black Hat edição 2013.



 cheers  cheers 

2 Re: Quem descobriu as injeções de SQL? em Dom Ago 03, 2014 11:31 am

Kodo no Kami

avatar
master
master
acho q uma coisa que deveria ensinar em cursos de webdesign é como se proteger dessa falha, tipo nem todos os cursos mais boa parte deles so ensina a linguagem e nao fala nada de segurança ai quebra kkkk


_________________ASSINATURA_________________
[Você precisa estar registrado e conectado para ver esta imagem.]
[Você precisa estar registrado e conectado para ver esta imagem.]

Contato:
Spoiler:

Contato:
Facebook: [Você precisa estar registrado e conectado para ver este link.]
Skype: hackerfts315
http://endoffile.umforum.net

3 Re: Quem descobriu as injeções de SQL? em Dom Ago 03, 2014 11:50 am

cyberwar

avatar
colaborador
colaborador
Realmente essa falha é um pouco OLD mais também até hoje se encontra em diversos sites.

4 Re: Quem descobriu as injeções de SQL? em Seg Ago 04, 2014 4:18 pm

Narcochaos Newborough

avatar
colaborador
colaborador
Foda é que vc não precisa de nenhuma ferramenta seja Havij ou ferramentas open sources como sqlmap ou sqlninja para explora sql ,faz tudo na base da mão ,foda é explorar sql em bancos oracles ai o bicho pega kkkkkk

Conteúdo patrocinado


Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo  Mensagem [Página 1 de 1]

Permissão deste fórum:
Você não pode responder aos tópicos neste fórum