Fuga de Información (Inyección SQL)

  • Posted on: 30 January 2024
  • By: ReYDeS

Las fallas relacionadas a fuga de información, proporcionan datos adicionales para la etapa de reconocimiento, las cuales son muy útiles durante un proyecto de hacking ético y pruebas de penetración.

Típicamente estás fallos no conducen directamente a la explotación. Pero la información obtenida durante esta etapa es utilizada como una entrada para etapas posteriores, como por ejemplo inyección SQL, adivinar contraseñas, y otros escenarios más.

Anotación importante

Los siguientes ejemplos se obtuvieron utilizando el motor de búsqueda Google. Yo NO realicé escaneos, ni otro tipo de interacción manual adicional. Únicamente ingrese a los enlaces mostrados, producto de buscar en Google.

Para el primer ejemplo, el mensaje de error es mostrado de manera estructurada, incluyendo rutas y nombres de archivos, como también nombres de columnas.

En el segundo escenario, el mensaje de error incluye el tipo de servidor de base de datos (Maria DB), además del nombre de una columna (idPlaza)

En el tercer ejemplo. El extenso mensaje revela el tipo de servidor (MariaDB), además de la consulta SQL, entre nombres de columnas, tablas y nombres de bases de datos.

Para el cuarto escenario, el mensaje de error expone también información del servidor (MariaDB), además parte de la consulta y nombres de tabla.

Para todos los ejemplos mencionados, se conoce se está interactuando con una base de datos backend MariaDB, y los errores cometidos por los diseñadores y programadores.

Fuente:

https://owasp.org/www-project-top-ten/2017/A3_2017-Sensitive_Data_Exposure
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Ap...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete