Introducción

Cubrimos los tipos de Vulnerabilidad de inyección SQL a saber, inyección SQL basada en errores, basada en tiempo, oculta y booleana. Usamos la ruta TryHackMe Junior Penetration Tester.

La inyección SQL (lenguaje de consulta estructurado), conocida principalmente como SQLi, es un ataque al servidor de bases de datos de una aplicación web que provoca la ejecución de consultas maliciosas. Cuando una aplicación web se comunica con una base de datos utilizando la entrada de un usuario que no ha sido validada adecuadamente, existe la posibilidad de que un atacante pueda robar, eliminar o alterar datos privados y de clientes y también atacar los métodos de autenticación de las aplicaciones web para que sean privados. o áreas de clientes. Es por eso que, además de ser SQLi una de las vulnerabilidades de aplicaciones web más antiguas, también puede ser la más dañina.

Obtenga notas del certificado OSCP

¿Que es una base de datos?

Una base de datos es una forma de almacenar electrónicamente colecciones de datos de manera organizada. Una base de datos está controlada por un DBMS, que es un acrónimo de Sistema de gestión de bases de datos. Los DBMS se dividen en dos campos. Relacional o No relacional, el enfoque de esta sala estará en las bases de datos relacionales, algunas de las más comunes con las que se encontrará son MiSQL, Microsoft SQL Server, Access, PostgreSQL y SQLite. Explicaremos la diferencia entre bases de datos relacionales y no relacionales al final de esta tarea, pero primero es importante aprender algunos términos.

 

Dentro de un DBMS, puede tener varias bases de datos, cada una de las cuales contiene su propio conjunto de datos relacionados. Por ejemplo, es posible que tenga una base de datos llamada "comercio“. Dentro de esta base de datos, desea almacenar información sobre los productos disponibles para comprausuarios que se han registrado en tu tienda online, e información sobre el pedidos has recibido. Esta información se almacenaría por separado en la base de datos usando algo llamado tablas, las tablas se identifican con un nombre único para cada una. Puede ver esta estructura en el diagrama a continuación, pero también puede ver cómo una empresa puede tener otras bases de datos separadas para almacenar información del personal o del equipo de cuentas.

Preguntas y respuestas del desafío

¿Cuál es el acrónimo del software que controla una base de datos?

¿Cuál es el nombre de la estructura en forma de cuadrícula que contiene los datos?

¿Qué declaración SQL se utiliza para recuperar datos?

¿Qué cláusula SQL se puede utilizar para recuperar datos de varias tablas?

¿Qué declaración SQL se utiliza para agregar datos?

¿Qué carácter significa el final de una consulta SQL?
¿Qué es la bandera después de completar el nivel 1?
¿Qué es la bandera después de completar el nivel dos? (y pasando al nivel 3)
¿Qué es la bandera después de completar el nivel tres?
¿Cuál es la bandera final después de completar el nivel cuatro?
Nombra un protocolo que comience con D y que pueda usarse para extraer datos de una base de datos.

Tutorial en vídeo

 

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos