Inyección SQL - Hackeando páginas web

Las típicas preguntas que nos hacemos:
¿Cómo puedo hackear una página web?
¿Cuál es la manera más fácil de hacerlo?
Soy inexperto en Hacking, ¿podré hacerlo?

Pues bien, la manera más fácil es buscar una vulnerabilidad en el nivel de validación de las entradas a la base de datos, como por ejemplo el área de administración (Login/Password) del sitio.

Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.

Fuente: Wikipedia

Con el auge de los sitios/plataformas web desarrollados en PHP y ASP, conforme a eso también se han visto las distintas vulnerabilidades en estos. Ya que el máximo problema que existe es la Inyección SQL.

Pero, ¿Cómo se hace?

Comúnmente los desarrolladores novatos hacen su sistema de validación de usuarios de esta forma:

$usuario=$_POST['usuario'];
$pass=$_POST['pass'];
$sql="SELECT * FROM
usuarios WHERE usuario= '$usuario' AND contrasena='$pass'";

Al ejecutar el mismo, si coincide en la base de datos, entrara ya sea a crear la sesión o actualizar el estado del campo.

Obviamente para entrar debemos conocer el usuario y contraseña correcta, pero nosotros inyectaremos un código malicioso para que nos devuelva un TRUE en la consulta.

Colocaremos lo siguiente, en el formulario de administración:

Usuario: admin
Contraseña: ' or''='

A la hora que se ejecute la sentencia, permitirá a entrar al sitio web! y listo!

Si eres desarrollador, te interesara como evitar todas las vulnerabilidades de inyecciones.

PHP
En php se utiliza la función mysql_real_escape_string, la cual escapa caracteres especiales de una cadena para su uso en una sentencia SQL.

Entonces tu consulta agregando esta función quedaría:

$sql="SELECT * FROM usuarios WHERE usuario=
\"".mysql_real_escape_string($usuario). "\"" AND
contrasena=\"".mysql_real_escape_string($pass). "\""";

ASP
Para asp se utiliza de la siguiente manera:

Dim Usuario, Password, RS, SSQL Usuario = Request.Form("txtUsuario")
Password = Request.Form("txtPassword") SSQL = "SELECT count(*) FROM
Usuarios WHERE Usuario = '" & Usuario & "' AND password='" &
Password & "'" Set RS = Server.CreateObject("ADODB.Recordset")
RS.Open SSQL, "Cadena de conexion" If (RS.EOF)
Then Response.Write "Acceso denegado."
Else Response.Write "Te has identificado como " &
RS("Usuario") End IfSet RS = Nothing

Donde txtUsuario y txtPassword vienen del formulario donde pedimos el Usuario y Contraseña.

Nuevo sitio web: Encuentro Colima

El pasado mes de Julio, tras un mes de trabajo, se lanzo Encuentro Colima, un nuevo servicio de publicidad en línea y desarrollo web.

¿Cómo trabaja Encuentro Colima?
Si eres dueño de una pequeña/mediana empresa, y tienes deseos de entrar en el mundo del Internet, pero no tienes el capital para gastar en hospedaje / dominio / diseño web, en Encuentro Colima podrás tenerlos a muy bajo costo.
Te brinda las herramientas necesarias para tu sitio web, y a si tener una mayor competencia empresarial.

Información:
CSS, PHP, MySQL, AJAX, JavaScript, Photoshop

Sistemas incorporados al sitio:
- Administrador:
Sistema de administración de usuarios

- Administrables exclusivamente por los usuarios (membresía estándar y Premium)
Modificación de su sitio web (diseño, información, etc)
Sistema de promociones
Sistema de productos en línea

visita: http://www.encuentrocolima.com

Examenes para Certificación de Cisco CCNA y CCNP

Para llegar hacer un certificado en Cisco CCNA o CCNP, se necesita una ardua preparación, la cual conlleva a estudiar mucho y a la ayuda de unos cuantos simuladores.
He estado subiendo material de estudio, (que espero a muchos les este ayudando), pero hay algo más.

Les presento, los simuladores de examenes para certifiación, destinado para:

- Técnicos de redes noveles en productos y servicios Cisco.

- Administradores de red responsables de implementar y administrar las redes de empresas medianas y pequeñas.

- Personal de soporte de red que llevará a cabo la función de ayuda de escritorio en una compañía de tamaño mediano que tiene un personal de soporte de red interno.

- Personal de soporte de red que actuarán como instaladores de dispositivos de red y como soporte de primera línea en un entorno de red pequeña.

- Candidatos CCNA

- Candidatos CCNP

Interactive Testing Engine Cisco 640-811 (Testking)
> Descargar <

640-811 Practice Exam Package
> Descargar <

Activar Windows XP Pirata como Original

No conozco a más de 10 personas, que tengan en su computadora Windows Xp Original, y para que tenerlo?, si aparte de costoso no es un sistema operativo confiable.

Lo malo de tener Windows XP pirata es que no podemos descargar los componentes nuevos ni actualizaciones, ya que se instala en nuestra computadora un programa ActiveX llamado WGA (Windows Genuine Advantage), este detecta si el sistema operativo Windows que se ejecuta en esa computadora fue comprado a Microsoft o no. Esta comprobación se lleva a cabo cuando se ingresa al Centro de Downloads de Windows en internet y se intenta actualizar el S.O..

Se preguntaran, como es posible engañar al WGA, y activar nuestro windows XP como Original. Es bastante sencillo, lo que debes de hacer es:

1. Bajar el archivo Activar Windows Xp, que he subido a RapidShare.

2. Descomprimir el archivo, y ejecutar RemoveWGA, esta herramienta sirve para borrar por completo el WGA.

3. Ejecuta Licencia.reg, lo que hara este archivo es validar los registros como originales.

4. Reinicia tu PC

5. Listo!, ingresa a Windows Update, y verás que ya es posible Actualizar tu Windows XP.

Nuevo sitio web: Colima IN

Tras el auge de redes sociales en internet, y la creciente demanda de revistas en línea , surge COLIMA IN. Un nuevo portal que me encargaron unos chavos emprendedores del Tec de Colima.

Para COLIMA IN, priorice en diseño, ya que quería que el visitante tuviera un impacto visualmente pero que a su vez, fuera un sitio fácil de explorar. Ya que el error de muchos cuando trabajamos con FLASH, es la falta de accesibilidad.

Espero que le vaya muy bien al equipo de Colima In…

Información:
CSS, Flash, PHP, MySQL, AJAX, JavaScript, Photoshop

Sistemas incorporados al sitio:
- Completamente administrables:
Galería de fotos
Libro de Visitas
Directorio Comercial
Publicidad en Random

Visita: http://www.colimain.com.mx/

Buscador para RapidShare

RapidShare es uno de los servidores más famosos para almacenaje y distribución de archivos a través de internet. Aunque contiene 2 tipos de usuarios, Gratuito y Premium. Obviamente el usuario gratuito sufre de muchas limitaciones, un ejemplo de ellos, es no poder descargar en cadena archivos, y a su vez sufrir de menor ancho de banda. Los usuarios premium tienen los privilegios de descargar archivos en cadena y velocidad máxima de descarga.

Pero algo que no tiene RapidShare y para muchos usuarios es escencial es: Un buscador de archivos.

Asi es, ni si quiera los usuarios premium tienen esta herramienta para archivos. y deberas que es una lata andar buscando por internet algún archivo de tu interes que se encuentre en rapidshare siendo un usuario premium, que tienes pagado el servicio.

Uno de los sitios que nos brinda un servicio de búsqueda para RapidShare es el RS FIND (el mejor!), el cual funciona como Google.com, pero obviamente por sus siglas RS (RapidShare) - FIND (encontrar), es exclusivo para este servidor.

Enlace: http://www.rsfind.com/

Convertir QuickTime Player a QuickTime Pro

QuickTime Player es solamente un reproductor de video, el cual es estándar de Apple (.MOV).
Permite ver videos a resoluciones que antes sólo podíamos soñar, ya que sus contenidos son muy nítidos superiores al estándar de DVD, DivX y otros formatos de alta calidad.

QuickTime está definiéndose, poco a poco, como el futuro estándar para visualización de videos, con calidades muy superiores al MPEG y menor espacio en disco.

[QuickTime Player NO permite guardar videos]

QuickTime Pro permite:

*Crea vídeo utilizando el códec más importante de Internet: H.264
*Graba audio para producir podcasts
*Crea películas para el iPod
*Nuevos controles a toda pantalla
*Convierte contenido multimedia a más de una docena de formatos

El costo del QuickTime Pro es de aproximadamente $515.00 pesos

Pero, les mostrare una manera facil y sencilla, para ahorrarse ese dinero. Para ello tienen que realizar los siguientes pasos:

1. INICIO > Panel de Control
2. Localizen el icono de QuickTime, doble click.
3. Les abrira un cuadro de dialogo llamado: Preferencias de Quicktime
4. En los campos de Registro para y código de registro, agregar:
Para: Dawn M Fredette
Código: 4UJ2-5NLF-HFFA-9JW3-X2KV
5. Click en Aplicar y Aceptar
6. LISTO! Ahora cuentan con QuickTime Pro Gratis!