Professional Documents
Culture Documents
Preguntas 47 y 48
Jason, un probador de penetracin, est probando una aplicacin web que l sabe es vulnerable a una inyeccin SQL, pero los resultados de la inyeccin no son visible para l. Trat de comandos de retardo waitfor para comprobar la ejecucin de SQL, que confirm la presencia de la vulnerabilidad de inyeccin SQL. Qu tipo de inyeccin SQL Jason est tratando en la aplicacin web?
Blind SQL injection Error basado en la inyeccin de SQL UNION SQL Injection Simple inyeccin SQL
Generalmente, si el cdigo malicioso se encuentra en forma de hipervnculo es codificado en HEX (basado en el sistema de numeracin hexadecimal, base 16) o algn otro, as cuando el usuario lo vea, no le parecer sospechoso. De esta manera, los datos ingresados por el usuario son enviados a otro sitio, cuya pantalla es muy similar al sitio web original.
De esta manera, es posible secuestrar una sesin, robar cookies y cambiar la configuracin de una cuenta de usuario.
En palabras simples, el atacante usa a la victima para que sea ella misma la que realice la transaccin daina cuando la vctima se encuentra validada en el servidor y en la aplicacin especfica. El proceso es simple, muchos usuarios no finalizan correctamente (o no pueden hacerlo) sus sesiones en las aplicaciones bancarias o de otra ndole que puedan ser afectadas por esta vulnerabilidad y las mantienen activas mientras navegan otros sitios, ms an en tiempos en que las pestaas de los navegadores son muy utilizadas, por tanto desde cualquier otra ventana en el navegador se pudiera inducir al usuario a pulsar un enlace con una orden a sitios en los que el usuario ha ya autenticado, para que el usuario ejecute sin saberlo la accin de ataque.
Reg
Reg
Reg
Reg
Reg
Reg
Reg
Reg
Glosario
Waitfor: Bloquea la ejecucin de un lote, un procedimiento almacenado o una transaccin hasta alcanzar la hora o el intervalo de tiempo especificado, o hasta que una instruccin especificada modifique o devuelva al menos una fila.