Muestra las diferencias entre dos versiones de la página.
sad:fedora14:p2 [2018/01/13 23:17] José Manuel Guallar |
sad:fedora14:p2 [2019/01/04 13:18] |
||
---|---|---|---|
Línea 1: | Línea 1: | ||
- | **¿Qué es Inyección de Comando?** | ||
- | La Inyección de comandos ocurre cuando un atacante puede ejecutar comandos del sistema operativo o scripts en el servidor desde la aplicación web. Esta potencial de vulnerabilidad se produce cuando una aplicación web le permite hacer comúnmente un nslookup, whois, ping, traceroute y más desde su página web. Se puede probar la vulnerabilidad utilizando una técnica llamada fuzzing, donde un ";" o "|" o "||" o "&" o "&&" se agrega al final de la entrada esperada (p. ej., www.google.com) seguido de un comando (p. ej., cat / etc / passwd). \\ | ||
- | ** | ||
- | ¿Qué es Fuzzing?** | ||
- | |||
- | La prueba de fuzz o fuzzing es una técnica de prueba de software que implica proporcionar datos no válidos, inesperados o aleatorios a las entradas de un programa de ordenador. Luego, se monitorea el programa en busca de excepciones tales como bloqueos o fallos en las aserciones de código incorporadas o para encontrar posibles pérdidas de memoria. Fuzzing se usa comúnmente para probar problemas de seguridad en software o sistemas informáticos. | ||
- | |||
- | |||
- | **practica requisito** | ||
- | |||
- | Instalar Mutillidae en Fedora 14 | ||
- | Instalación de BackTrack 5 R1 | ||
- | |||
- | **Notas de la practica** | ||
- | |||
- | En esta practica haremos lo siguiente: | ||
- | * Explotar una vulnerabilidad de fuzzing de inyección / ejecución de comando. | ||
- | * Reconocimiento del sistema operativo | ||
- | * Registro de inicio de la aplicación Reconocimiento | ||
- | * Reconocimiento de base de datos | ||
- | * Codificación de PHP Script para ver los contenidos | ||
- | * Conexión remota a la base de datos |