Se terminan las
vacaciones, y si buscas una buena lectura antes de que se terminen aquí te dejamos nuestra opinión del libro de Enrique Rando y Chema Alonso.
Atacar una base de datos, muchos pensamos en el or 1=1 y “pa dentro”. En ocasiones no se logra el resultado esperado, sin saber
muy bien porque, si hablamos de un trabajo profesional deriva en un riesgo produciendo una falsa sensación de seguridad y descuidando una
vulnerabilidad que se podría explotar.
Chema Alonso tenía experiencia profesional con bases de
datos antes de temas de seguridad y una buena
perspectiva de lo que se puede hacer en este entorno, ahora solo hay que hacerlo
desde el exterior.
El libro comienza “casi” desde cero, con todo lo que necesitas para preparar las maquinas virtuales del laboratorio, se
explica cómo realizar cada uno de los ataques con especial atención a las
diferencias entre los gestores, este es uno de los
aspectos que me gusto, los detalles de las diferentes sintaxis a la hora de
construir las consultas.
A lo largo de los distintos capítulos puedes leer como se
realiza cada consulta y como deberías escribirla desde la
URL, los diferentes inconvenientes que se pueden producir y
como superarlos, conocer estas peculiaridades puede marcar la diferencia entre
el éxito o el fracaso en la Injection.
Además se explica como realizar diferentes ataques para
escalar privilegios, modificar el sistema y comprometer esa máquina y otras con
las que exista comunicación.
Siiiii también se explica los “trucos del Maligno” para esquivar los filtros!!! y una parte dedicada a SQLmap, explicando el trabajo que la herramienta realiza de forma automatizada.
Siiiii también se explica los “trucos del Maligno” para esquivar los filtros!!! y una parte dedicada a SQLmap, explicando el trabajo que la herramienta realiza de forma automatizada.
En mi opinión, que allá por el 95 estudie DbaseIII y había visto
algo de MySQL, este excelente libro (me lo he leído dos veces) me aporto muchísimos
conocimientos, técnicas de Injection, diferencias
entre gestores y muchos detalles
interesantes fruto de la experiencia de los autores, imprescindible para
entender un aspecto de la seguridad tan importante como son Las Bases de Datos.
Mi recomendación es que si te interesa este tema, HackingWeb: SQL Injection no puede faltar en tu biblioteca, y seguro que después de leerlo, ese
or 1=1 no te va a fallar....
El ganador de nuestro Sorteo solicito este libro (ya lo tiene en sus manos en Chile, disfrutalo Francisco), y aquí os dejo la dedicatoria tan Chula que le dibujo Chema.
El ganador de nuestro Sorteo solicito este libro (ya lo tiene en sus manos en Chile, disfrutalo Francisco), y aquí os dejo la dedicatoria tan Chula que le dibujo Chema.
Muchas gracias Chema!!
Seguridad a lo Jabalí para Todos!!
No hay comentarios:
Publicar un comentario