SQL injection | Ten CUIDADO con tu base de datos! 🧐

Una inyección SQL, a veces abreviada a SQLi, es un tipo de vulnerabilidad, en la que el atacante emplea un fragmento de código SQL (lenguaje de consulta estructurado) para manipular bases de datos y obtener información muy valiosa sobre el sistema. Una consulta de SQL es una solicitud dirigida a una base de datos. Un ejemplo es cuando la información de inicio de sesión se envía a través de un formulario web para que el usuario pueda acceder al sitio. Normalmente, este tipo de formulario web está diseñado para aceptar solo tipos muy específicos de datos, como un nombre o una contraseña. Cuando se agrega esa información, esta se coteja contra una base de datos y, si coincide, se otorga acceso al usuario. Si no coincide, se niega el acceso.

- INDICIOS DE SQLi:

1. Recepción de muchas solicitudes en poco tiempo.

2. Los anuncios  te redirigen a sitios web dudosos.

3. Aparecen mensajes de error y ventanas emergentes desconocidas.

- TIPOS DE INYECCIÓN SQL:

1. SQLi en banda:

- SQLi basado en errores: la base de datos genera un mensaje de     error en respuesta a los procesos iniciados por el atacante.

- SQLi basado en unión: el atacante usa UNION SQL para obtener        datos.

2. SQLi inferencial:

- SQLi basado en el tiempo: los atacantes envían una consulta de    SQL  a la base de datos. Seguidamente, la base de datos espere        unos segundos antes de responder si la consulta es verdadera o        falsa.

- SQLi booleana: los cibercriminales envían una consulta de SQL a    la base de datos, así permiten que la aplicación responda             mediante la generación de un resultado verdadero o falso.

3. SQLi fuera de banda: 

- Ocurre cunado los atacantes no pueden usar el mismo canal para  lanzar el ataque y, a la vez, compartir información. 

- O cuando un servidor es demasiado lento para realizar            cualquiera de estas acciones.

-COMO IMPACTAN EN LA SOCIEDAD LAS INYECCIONES SQL:

1. Exponen datos sensibles.

2. A menudo, comprometen la integridad confidencial de los datos. 

3. también comprometen la privacidad de los usuarios.

4. le otorgan al atacante acceso de administrador de sistema.

5. El atacante tiene acceso a todo el sistema.

Espero que esta información te sea de utilidad y también espero que me escribas a hackinform@proton.me para que hagamos un acuerdo por los códigos que pueda resultar beneficioso para ambos. Si tienes alguna duda siempre me puedes escribir o dejar un comentario.

ARTÍCULO TRADUCIDO (francés):

L'ijection SQL, parfois abrégée en SQLi, est un type de vulnérabilité où l'attaquant utilise un morceau de code SQL (langage de requête structuré) pour manipuler les bases de données et obtenir des informations précieuses sur le système. Une requête SQL est une demande adressée à une base de données. C'est le cas, par exemple, lorsque des informations de connexion sont soumises par le biais d'un formulaire web pour permettre à l'utilisateur d'accéder au site. En général, ce type de formulaire web est conçu pour n'accepter que des types de données très spécifiques, tels qu'un nom ou un mot de passe. Lorsque ces informations sont ajoutées, elles sont comparées à une base de données et, si elles correspondent, l'utilisateur se voit accorder l'accès. Dans le cas contraire, l'accès est refusé.

- INDICATIONS SQLi :

1. réception de nombreuses demandes en peu de temps

2. Des publicités vous redirigent vers des sites web douteux.

3. Vous recevez des messages d'erreur et des pop-ups inconnus.

- TYPES D'INJECTION SQL :

1. SQLi en bande :

- SQLi basée sur les erreurs : la base de données génère un message d'erreur en réponse aux processus lancés par l'attaquant.

- SQLi à base de jointure : l'attaquant utilise UNION SQL pour obtenir des données.

2. SQLi inférentiel :

- SQLi basé sur le temps : les attaquants envoient une requête SQL à la base de données. La base de données attend ensuite quelques secondes avant de répondre si la requête est vraie ou fausse.

- SQLi booléen : les cybercriminels envoient une requête SQL à la base de données, ce qui permet à l'application de répondre en générant un résultat vrai ou faux.

3) SQLi hors bande : 

- Se produit lorsque les attaquants ne peuvent pas utiliser le même canal pour lancer l'attaque et, en même temps, partager des informations. 

- Ou lorsqu'un serveur est trop lent pour effectuer l'une de ces actions.

-COMMENT LES INJECTIONS SQL IMPACTENT LA SOCIETE :

1. Elles exposent des données sensibles.

2. Elles compromettent souvent l'intégrité confidentielle des données. 

3. elles compromettent également la vie privée des utilisateurs

4. elles donnent à l'attaquant un accès à l'administrateur du système

5. Le pirate a accès à l'ensemble du système.

J'espère que ces informations vous seront utiles et que vous m'écrirez à l'adresse hackinform@proton.me afin que nous puissions trouver un arrangement mutuellement bénéfique pour les codes. Si vous avez des questions, vous pouvez toujours m'écrire ou laisser un commentaire.

Comentarios

Publicar un comentario

Entradas populares de este blog

Protonmail; TU seguridad cuenta 🔒

Imagen
Protonmail es un correo electrónico totalmente privado que utiliza métodos de cifrado de extremo a extremo, lo que te protege de filtraciones, robo de datos y vulneraciones. Puedes crear una cuenta gratuita que te proteja, aunque hay packs que cuestan dinero en pagos mensuales. Proton tiene su sede en Suiza, lo que significa que está adaptado a sus estrictas leyes de privacidad. Además, protonmail es para cualquier dispositivo, de modo que lo podrás consultar estás donde estés. El correo es muy personalizable y ordenado, y puedes convertir tu correo electrónico normal a uno de proton cuando quieras, en un solo clic, desde su página web oficial (https://proton.me/es-es/mail). Además, puedes bloquear los anuncios para dejar de recibirlos, y proton viene con una búsqueda avanzada. Espero que esta información te sea de utilidad y también espero que me escribas si tienes alguna duda a "hackinform@proton.me o también me puedes dejar un comentario. ARTÍCULO TRADUCIDO (francés): Protonm...
Leer más

Presentación; QUE HAY en este blog 😁

Imagen
Hola, soy v1ru5 m4st3r, y en este bloc vas a aprender muchas y variadas cosas sobre la hacking y el cracking, y también podrás conseguir ciertos códigos si me los pides a mi cuenta de correo "hackinform@proton.me". No  no me hago responsable de los daños que se pudieran ocasionar con esta información que proporciono, pero espero que los fines sean educativos o por diversión y búsqueda de conocimiento. Espero que la información que te ofrezco te resulte útil. También me gustaría añadir que los artículos son bilingües, y que están escritos tanto en español como en francés. Si tienes alguna duda siempre puedes escribir a "hackinform@proton.me" o dejar un comentario. ARTÍCULO TRADUCIDO (francés): Bonjour, je suis v1ru5 m4st3r, et dans ce blog vous apprendrez des choses diverses et variées sur le hacking et le cracking, et vous pourrez aussi obtenir des codes si vous me les demandez sur mon compte email "hackinform@proton.me". Je ne suis pas responsable des dom...
Leer más

Pentensting; ¿QUÉ ES? 🤯

Imagen
La palabra "pentesting" está formada a su vez por dos palabras: "penetration" y "testing". Es la práctica de atacar diferentes sistemas informáticos con el objetivo de encontrar fallos y vulnerabilidades. El pentesting (también llamado "test de penetración") es una de la prácticas más demandadas, ya que gracias a estos test, puedes saber si tu defensa es eficiente o tienes fallos y necesita ser parcheada. Por eso, un empleo de pentester está muy demandado en las empresas de seguridad informática. Existen tres tipos de pentesting, y se clasifican según el tipo de información que se posee cuando se realiza el test: - Pentesting de "White Box" o caja blanca: en esta situación, el           pentester conoce todos los datos del sistema;  la estructura, los      antivirus, la IP... - Pentesting de "Black Box" o caja negra: en este tipo de pentesting,     el pentester testea el sistema sin saber, nada de información, y por ...
Leer más