Archivos del blog

DB2 SQL injection cheat sheet

Note: There is an English version of this post here. Estoy seguro de que todos nosotros (pentesters) usamos bastante los cheat sheets sobre inyección SQL de pentestmonkey. Se han convertido en una referencia cuando se trata de realizar inyecciones SQL, y

Tagged with: , , , ,
Publicado en seguridad, web hacking

DB2 SQL injection cheat sheet

Nota: Hay una versión de esta entrada en Español aquí. I’m sure we all (pentesters) make extensive use of pentestmonkey’s SQL injection cheat sheets. They are touchstones when it comes down to SQL injection, and most of the time they

Tagged with: , , , ,
Publicado en seguridad, web hacking

SQLol y XMLmao: Web hacking Testbeds

Recientemente tuve que preparar unas presentaciones sobre XPath Injection (I,II) a modo de formación interna en la empresa, y me puse a buscar entornos en los que se pudieran practicar las técnicas que iba a contar. El caso es que

Tagged with: , , , ,
Publicado en hacking, seguridad, web hacking

Oracle Blind SQL Injection en Order By

 Hoy quería comentar un caso curioso que me he encontrado recientemente durante un pentest de una aplicación web. La aplicación en cuestión es muy grande, con muchísimos menús, submenús, cantidad de roles, checkboxes y dropdown menus que muestran diferentes páginas en

Tagged with: , , ,
Publicado en web hacking
Archive
  • RT @stahnma: Everybody has a testing environment. Some people are lucky enough enough to have a totally separate environment to run product… 1 week ago
  • RT @bitandbang: your friendly reminder that @GitHub provides your public keys (yes, plural) if you add .keys to the end of your GitHub prof… 1 week ago
  • RT @gvanrossum: It's (even more) official: support for Python 2 ends 1/1/2020. Read why, and what you should do: python.org/doc/sunset-pyt… 1 week ago
  • RT @mikewest: TL;DR: `SameSite=Lax` by default. Folks who require cross-site access can opt-into the status quo via `SameSite=None`, but do… 2 weeks ago