RSS |
Blog de Omar
Just another WordPress weblog
Home
Acerca de MI
FAQ
MIS VIDEOS
Search
Twittear
Las inyecciones de cdigo SQL (aqu pueden ver el TOP 10 2013 de OWASP) son una vulnerabilidad muy conocida, a
1 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
pesar de eso no sorprende aun encontrarse con diversas pginas web que tengan esta vulnerabilidad. Lo que aun me
sorprende es que me escriban correos pidiendo ayuda para realizar acciones de dudosa legalidad con la efmera y
absurda esperanza que yo me juegue el pellejo por alguien que no conozco, por alguien que no me interesa y peor an me
juegue la crcel por alguien que no tuvo las ganas de estudiar el ciclo de la universidad. As que aquellos que estn
cursando la universidad con esfuerzo, aquellos que son bachilleres y los que ya son ingenieros, sintanse orgullosos de su
ttulo que mucho esfuerzo ha costado.
Cranme que hay gente que me pide cambiar las notas, es decir, que hackee a la universidad y cambie un 09 por un
11 para que sean felices; les muestro slo algunos ejemplos que mas recuerdo:
Ya saben, toda demanda tiene una oferta, gracias a este principio nuestra economa se mueve. Obviamente el mundo del
hacking no es ajeno a esto, basta con buscar en Internet si alguien ofrece realizar trabajitos de hacking para cambiar
nuestras calificaciones. Me llam la atencin una pgina web donde encontr una persona seria, que nos ofreca un
trabajo serio, garantizado, discreto y sobre todas las cosas profesional, porque eso es lo que necesitamos en este pas,
Per, profesionales de alta calidad que cambien notas para obtener ms profesionales de alta calidad. WTF!!!!
Como no soy especialista en temas de derecho, habr que preguntarle a Erick (@coyotegris) de que tipo de delito estamos
hablando y supongo que tanto el que realiza estos trabajitos como el que los solicita estn cometiendo un delito.
2 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
De pronto si, obviamente de manera trucha, ilcita e ilegal. Es aqu donde me pregunt Qu tantas instituciones
educativas han sido hackeadas en el Per?, pues como sabrn nadie lleva un registro exacto de estas cosas y tampoco es
que cada vez que alguien hackee a una universidad pues se promocione por internet diciendo que lo ha logrado, de hecho,
a mi me han contratado universidades para realizarles un Ethical Hacking y las cosas que se pueden lograr, son
alucinantes!!!
Entonces, no hay donde saberlo? pues aqu nos puede ayudar ZONE-H, como ya sabrn cada vez que algn super
hacker logra un defacement lo publica en esta pgina para crear un mirror de como qued la pgina despus de haber
sido hackeada. Mayscula fue mi sorpresa cuando encontr, 1444 pginas hackeadas que tienen el dominio EDU.PE.
WTF!! hasta una pgina de la Universidad Nacional de San Marcos(UNMSM) se encuentra all. Si no me creen miren
aqu:
Parece ser que el ilcito negocio no es tan complicado como parece habiendo tantas pginas educativas que han sido
3 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
hackeadas , de pronto hasta el negocio les resulta bastante atractivo habiendo un mercado tan grande de estudiantes, ese
es un motivo para que las universidades se preocupen por la seguridad de su informacin, adems, siendo las
universidades donde se forman profesionales en ingeniera creera que deberan dar el ejemplo de un buen desarrollo y
seguro de sistemas de informacin, no creen?
La idea de este post es mostrar las diferencias entre las inyecciones SQL sobre MySQL y sobre otro motor de base de
datos, por ejemplo, SQL SERVER. Para poder entenderlo mejor les recomiendo haber visto antes estos posts:
Debido a que explicar las diferencias se puede hacer extenso, he decidido realizar un video tutorial con las principales
particularidades de realizar inyecciones sobre Microsoft SQL Server. El video contiene las siguientes partes:
1. Ejecucin de funciones bsicas sobre MSSQL para obtener informacin: usuario utilizado, base de datos actual,
versin de la base de datos.
2. Listado del total de bases de datos
3. Listado de tablas de una base de datos especfica
4. Listado de registros de una tabla
5. Concatenacin de querys y alteracin de informacin a travs de inyecciones (muy importante)
Como esa pregunta me segua dando vueltas en la cabeza y senta que no poda vivir con esa duda existencial, decid
probar en la pgina web de una universidad que no estaba en listado de Zone-H e identificar si son tan descuidados
como para permitir inyecciones de cdigo SQL. Obviamente no voy a decir que universidad he probado, slo que es una
universidad Nacional del Per y que la manera que he probado es colocando la super-archi conocida comilla simple () y
una UNION para observar que comportamiento de la pgina web, no he ahondado ms porque mi objetivo es slo
verificar que es vulnerable y no hackear la pgina, de hecho la he reportado con la esperanza de que solucionen el
problema. Es importante mencionar que utiliza Microsoft SQL Server y que eventualmente se podran modificar los
registros, es decir, es muy probable que si se puedan cambiar las notas de la universidad y ser profesionales de dudosa
reputacin.
4 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
Conclusiones:
1. Existe una demanda grande de alumnos que desean aprobar o modificar calificaciones estudiantiles muy grande y
los centros de estudio deben preocuparse por la seguridad de la informacin para evitar incidentes de seguridad.
Obviamente los que se publicitan por Internet es muy probable que sean estafadores.
2. Es posible modificar informacin de manera remota a travs de vulnerabilidades del tipo Microsoft SQL Server
3. Existe un alto nmero de pginas web de centros educativos que han sido hackeados en el Per, los registrados en
ZONE-H suman 1444 pginas web hackeadas con el dominio .EDU.PE.
4. Las buenas prcticas de desarrollo a travs de APIs son la mejor solucin para el desarrollo seguro de aplicaciones
web. Revisen ESAPI del proyecto OWASP.
5. Los controles a nivel de acceso a las bases de datos y tener logs de monitoreo sobre las bases de datos nos permiten
identificar posibles fraudes realizados muchas veces por personal de confianza como los mismos DBA.
***************************************************************
Omar Palomino
5 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
Post Relacionados
Tagged as: diferencias, injection, inyeccion, modificar, mssql, MySQL, registro, sql, tutorial, update, video
Comments
There are 5 comments for this post.
Excelente artculo, me gusta mucho leer este tipo de artculos ya que me ayuda a aprender nuevas cosas da a da,
gracias por compartir tus conocimientos
Hola disculpa, aun no tengo conocimiento sobre inyeccion pero quisiera saber si es necesario tener instalado sql o
mysql alguna version en especial?..gracias disculpa mi ignorancia.
Con respecto a tu pregunta , trucos hay por todos lados y de ninguna manera se pueden llamar profesionales , sin
embargo el hacking a mutado y cre que ser conveniente que te actualises , te coment un caso personal , soy el
tpico traga libros que ayuda a sus compaeros y trabaja y estudia todo el tiempo . Hace un par de aos ya me
faltaba poco para recibirme y en la facultad cambiaron al secretario de la carrera .El hacking lo hizo l , a los que
no estudian y ni siquiera cursaron les subi notas y aprobaciones y al resto de los ilusos nos modific el analtico ,
una especie de enroque como en el ajedrez . Los tragas estamos recursando prcticamente media carrera que ya
estaba aprobada , y lo hacemos de taquito porque siempre estudiamos antes y ahora .Y los truchos chantas ya se
6 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
recibieron y ocupan cargos administrativos en la facultad pq no pueden ejercer la profesin para la que tienen el
ttulo . En el medio a los que nos cagaron no slo que los profesores nos apoyan y han decidido tenernos en sus
empresas como mano derecha sino que les han cerrado las puertas a los truchos . Y algo ms algunos no slo somos
estudiosos para aprobar un examen , el dominio de estos y muchos otros conocimientos nos vuelven sujetos
peligrosos para esos trucos y el secretario y cualquiera que haya participado de esta maniobra . No tens idea de lo
dulce que es la venganza , verlos vivir con miedo indefensos y a merced de quienes ellos alguna vez burlaron . La
verdad esto es hacking tico . Nuevo paradigma , nuevas reglas . As que mi mensaje sera que los que quieran
dibujar las notas para convertirse en profesionales trucos bien por uds , sigan as cuantas ms ovejas entren al
matadero mayor va a ser la carnicera .
Saludos
Write a Comment
Name (required)
Website
Message
Interesting Topics
Popular Posts
Recent Posts
Sguenos en:
7 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
2k
nete al Facebook
El Palomo
27 de agosto a las 8:04
11 4 Compartir
8 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
Jonathan Aldave
@zoom777
27 feb
Categorias
Android
Anonimato
Backdoors
Base de Datos
Business Intelligence
CEH
Cisco
Contrasenas
CPTE
Editorial
9 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
Ethical Hacking
Eventos
Facebook
Forense
Hijacking
Ingenieria Social
ITIL
Linux
MSSQL
MySQL
politica
Rainbow Tables
Remote File Inclusion
SQLInjection
Uncategorized
Videos Seguridad
Wardriving
Wireless
Wordpress
ULTIMOS POSTS
Presentacin ISACA Student Group PUCP 2016
Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Hookworm: Un backdoor silencioso con PHP Parte 02
Puertas Traseras: Backdorizando un LinuxParte 01
Routers, Facebook y otras hierbas
Hackeando Android: Ingeniera Social y una linda camiseta
10 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
Ultimos comentarios
julio en Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Omar Palomino en Memorias de un certificado ITIL v3: Material en espaol
Omar Palomino en Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Julio en Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Nicogo en Hookworm: Un backdoor silencioso con PHP Parte 02
Ramiro en ITIL V3: Service Operation (Operacin del Servicio) Parte II
Ahiezer Alvares en Puertas Traseras: Backdorizando un LinuxParte 01
santiago en Beini: Hackear una red wireless nunca fue tan fcil
Ahiezer Alvares en Puertas Traseras: Backdorizando un LinuxParte 01
mateo en Memorias de un certificado ITIL v3: Material en espaol
Omar Palomino en Memorias de un certificado ITIL v3: Material en espaol
k2r4y en Puertas Traseras: Backdorizando un LinuxParte 01
John Connors en ITIL V3: Service Operation (Operacin del Servicio)
Jorge en Cmo certificarse Ethical Hacker CEH y no morir en el intento?
Cabiro en Me cambias la nota de la Universidad? Inyecciones sobre SQL Server
Google Advertisement
Tags
Our Partners
Development Blog
Documentation
Plugins
Suggest Ideas
Support Forum
Themes
WordPress Planet
Categories
Base de Datos
Business Intelligence
MySQL
Editorial
Ethical Hacking
Android
11 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...
Anonimato
Backdoors
CEH
Cisco
Contrasenas
CPTE
Eventos
Facebook
Forense
Hijacking
Ingenieria Social
MSSQL
politica
Rainbow Tables
Remote File Inclusion
SQLInjection
Videos Seguridad
Wardriving
Wireless
ITIL
Linux
Wordpress
12 de 12 13/09/2016 19:30