Roberto Salgado [@LightOS] publicó en websec.ca una completa guía de SQL Injection. Hace referencia a prácticamente todos los motores de bases de datos comúnmente empleados (MySQL, MSSQL y Oracle) y explica desde las inyecciones SQL más comunes hasta la explotación avanzada de los motores de bases de datos.
Es una guía que se está actualizando diariamente, por lo que es aconsejable consultarla habitualmente.
Os dejo los enlaces a la parte referente a MySQL:
- MySQL
- Default Databases
- Testing Injection
- Comment Out Query
- Testing Version
- Database Credentials
- Database Names
- Server Hostname
- Tables and Columns
- Avoiding quotations
- String concatenation
- Conditional Statements
- Timing
- Privileges
- Reading Files
- Writing Files
- Out of band channeling
- Stacked Queries
- MySQL-specific code
- Fuzzing and Obfuscation
- Operators
- Constants
- Password Hashing
- Password Cracking
- MSSQL
- Oracle
- Extras
No hay comentarios :
Publicar un comentario