lunes, septiembre 21, 2009
31 y contando...
Asi, son 31 primaveras, 31 años de estar respirando, 31 años de haber emprendido esta carrera que se llama "vida", ayer cumplí 31 años.
Desde mi rincón quiero agradecerle primeramente a mi padre celestial por permitirme llegar hasta este momento, definitivamente que sin él no estaría acá ni sería lo que soy.
Es interesante, siempre en fechas de este tipo uno se pone "algo" reflexivo, ayer, aunque intenté no hacerlo, mi mente se resistió a obedecer, aunque no fue mucho, logré recordar hace un par de años atrás en los que me vi estancado en conocimientos y pensé "Ok, hasta aquí llegue, mi curva de aprendizaje está decreciendo exponencialmente"... y me resigné, sin embargo debo decir que este último año ha sido muy bueno, a pesar del poco tiempo disponible para mi auto-aprendizaje, logré aprender un poco mas sobre otros temas que había dejado iniciados y de nuevo logré sentir esa chispa que tienes como cuando se te viene una idea y comienzas a programar y programar y programar y ves ese montón de líneas de código que sin darte cuenta has escrito y la racha sigue, no quieres parar, tan solo quieres seguir aprendiendo, agregando mas líneas, rutinas, etc... esa sensación es única.
Dios me ha dado un año mas y estoy mas que agradecido por eso. Dios me ha dado una bella esposa y 2 hermosos hijos con quien comparto mis días, unos amigos que, aunque no son muchos, se que cuento con ellos, una comunidad de la cual me siento parte... definitivamente son mas cosas de las que pudiera pedir!
Ayer, disfruté el día y pude ver a varios amigos (aunque no se acordaron del día en si, los muy desgraciados), pude compartir aunque sea unos momentos y eso es lo importante, luego salí a Ataco con mi familia (me encanta ese pueblo!), regresé y logré ver a mis padres aunque sea un ratito. Algunos mensajes, llamadas y felicitaciones por chat e irc, un debian-wine que rmayorga me había traído del último debconf para disfrutar mientras con mi esposa veíamos una película... que mas podría querer?
Saludos y gracias a todos por estar ahi: a los que solo me leen de vez en cuando, a los que se toman la molestia de venir cada vez que pongo algo nuevo, a los que solo les interesan los post tecnicos, a los que también leen sobre mi vida, en fin... a vos que lees este post!
lunes, septiembre 07, 2009
Muy pronto... Blind SQL Injection
Tuve un fin de semana ocupado y es que las últimas páginas que encontré con vulnerabilidades de inyecciones SQL, esas de las que se sacaba toda la información en 5 minutos, curiosamente habían sido hechas por la misma empresa, pero que, según ellos, eran páginas antiguas y que no podían hacer nada mas porque estaban ya en manos de sus clientes.
Lo interesante del asunto es que todos los sitios son autoadministrables, usan un CMS creado por ellos, sin embargo los sitios recientes ya habían sido hechos bajo una nueva versión del CMS y, curiosamente ya no presentaba errores de sintaxis al ponerle una comilla por ahi... pero eso no quiere decir que no fueran vulnerables, así que el viernes por la noche comencé la tarea, facilmente se pudo ver que eran vulnerables a Blind SQL Injection, así que al llegar a la casa me puse manos a la obra y pude comenzar a sacar la información, pero al ser a ciegas, el proceso es algo tedioso una vez se ha encontrado la forma correcta de obtener la información... comencé por los ultimos sitios creados por ellos, pude ver que en efecto al menos los 4 sitios que tomé de base, eran vulnerables, así que, curiosamente me había olvidado y había dejado de último el análisis de la pagina de los desarrolladores... me busque una herramienta para automatizar el proceso, así que dejé trabajando mi maquinita todo el sábado mientras dormía, domingo a primera hora ya tenía toda la información requerida... por lo que me dispuse a dar el respectivo aviso a los desarrolladores.
Esto, además de la primera y segunda entrega sobre inyecciones SQL, prepara el camino para hablar un poco sobre Blind SQL Injection, un dia de estos por la noche veré si hacemos el taller respectivo en IRC para luego hacer un manualito, así que espero pronto dejar el post sobre el tema.
Saludos!
Lo interesante del asunto es que todos los sitios son autoadministrables, usan un CMS creado por ellos, sin embargo los sitios recientes ya habían sido hechos bajo una nueva versión del CMS y, curiosamente ya no presentaba errores de sintaxis al ponerle una comilla por ahi... pero eso no quiere decir que no fueran vulnerables, así que el viernes por la noche comencé la tarea, facilmente se pudo ver que eran vulnerables a Blind SQL Injection, así que al llegar a la casa me puse manos a la obra y pude comenzar a sacar la información, pero al ser a ciegas, el proceso es algo tedioso una vez se ha encontrado la forma correcta de obtener la información... comencé por los ultimos sitios creados por ellos, pude ver que en efecto al menos los 4 sitios que tomé de base, eran vulnerables, así que, curiosamente me había olvidado y había dejado de último el análisis de la pagina de los desarrolladores... me busque una herramienta para automatizar el proceso, así que dejé trabajando mi maquinita todo el sábado mientras dormía, domingo a primera hora ya tenía toda la información requerida... por lo que me dispuse a dar el respectivo aviso a los desarrolladores.
Esto, además de la primera y segunda entrega sobre inyecciones SQL, prepara el camino para hablar un poco sobre Blind SQL Injection, un dia de estos por la noche veré si hacemos el taller respectivo en IRC para luego hacer un manualito, así que espero pronto dejar el post sobre el tema.
Saludos!
Suscribirse a:
Entradas (Atom)