elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQLi		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SQLi  (Leído 2,651 veces)
hache1989

Desconectado Desconectado

Mensajes: 1


Ver Perfil
SQLi
« en: 16 Diciembre 2012, 21:16 pm »
¡Buenas!


He estudiado SQL  en un curso laboral y MySql por mi cuenta. Hace un tiempo leí sobre una organización que hacía ataques 'SQLi' para sacar información de la base de datos de las webs.

El caso es que estoy creando una aplicación en .php, y pienso sacarla a la red en unos meses. Si va bien me gustaría poner una sección premium de pago.

Está claro que en mi BBDD tendré información sensible, como son datos bancarios, o al menos de paypal, por lo que no me interesa ser víctima de un ataque SQLi, más que nada porque es un proyecto serio que busca comprometerse con el cliente. Y en esto la seguridad es lo primero.

Hoy estuve realizando ataques SQLi a mi web, y para mi sorpresa he descubierto algunas vulnerabilidades que tengo que arreglar.

Aún así, logré sacar mi usuario admin y mi contraseña. Pero claro, sino pueden acceder a mi cpanel o Myphppanelno pueden hacer nada, ¿no?. Estuve buscando webs que haces ataques de fuerza bruta con diccionarios tipo sencillos para descubrir el cpanel de mi web, pero no lo ha conseguido.

Me siento un poco intranquilo... cualquiera puede ver lo que quiera de mi BBDD aunque no pueda modificar nada, al no saber mi cpanel.

Es decir, mi web estaría a salvo mientras no encontrasen cpanel, pero la información de mis clientes se filtra.... ¡Y eso es algo que no puedo permitirme!

¿Alguien podría darme consejos, recomendarme bibliografía, etc? Me interesan las dos cosas, lo de encontrar cpanel y lo de impedir que se filtre información.

¡Muchas gracias!
En línea
ameise_1987

Desconectado Desconectado

Mensajes: 119



Ver Perfil
Re: SQLi
« Respuesta #1 en: 17 Diciembre 2012, 03:34 am »
no es para nada seguro tener una aplicación vulnerable a SQLI y confiarse en que no descubrirán el panel de control(google podría cachearlo, si no tienes los accesos de robots.txt bien configurados).

debes arreglar estos bugs, y te recomiendo además de revisar manualmente el sitio, utilizar un escáner acorde a tu web, si utilizas joomla , wordpress , etc ...

por ultimo agregar, que en caso que te conformes con ocultar tu cpanel, revisar que el usuario de la bd que se conecta para dar servicios a la aplicación, solo tenga permisos de USAGE, además revisa que los servicios como el servidor de base datos, no sean accesibles desde afuera, y así sucesivamente, sqli no es la única vulnerabilidad que existe, aunque muchos piense así.

saludos.
En línea
firma retirada por insultar/cachondearse de (anelkaos) del staff.
dRak0

Desconectado Desconectado

Mensajes: 234


Ver Perfil WWW
Re: SQLi
« Respuesta #2 en: 18 Diciembre 2012, 06:15 am »
No seria mejor fixear los bugs? Asi aprendes de tus errores.
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
GiE 4.8 - SQLi
Nivel Web 		Pony-Magic 4 6,573 Último mensaje 17 Diciembre 2010, 14:37 pm
por xassiz~
[Java] SQLI Scanner 0.2
Java 		BigBear 1 2,835 Último mensaje 22 Enero 2013, 16:27 pm
por Slider324
¿Es esto un SQLi?
Bugs y Exploits 		electrodev 2 2,807 Último mensaje 1 Abril 2013, 18:46 pm
por electrodev
Prepared statement + htmlspecialchar vs XSS y SQLi
Seguridad 		Tersk 2 2,512 Último mensaje 1 Agosto 2013, 07:05 am
por Tersk
Duda Sqli
Seguridad 		kiorochi 0 1,558 Último mensaje 12 Noviembre 2013, 18:27 pm
por kiorochi
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines