Qué es un "Bypass"?
Esta vez les traigo un antiguo post de mi blog personal, pero esta vez algo mas actualizado con su explicación. Comenzamos!
primeramente analicemos la palabra en si, por lo que wikipedearemos un poco... :-P
Baipás –del inglés bypass– se refiere, en general, a una derivación, desvío o cortar una ruta .
este es el significado de bypass, pero en el mundo de la informática y especialmente en su rama de la seguridad seria algo así el significado(también en wikipedia :-p )
En hacking, forma de esquivar un sistema de seguridad informático; o también enfoque distinto para solucionar un problema informático.
nos dice esquivar un sistema de seguridad informatico, pero como es que sucede esto?
lo que se hace es aprovechar una vulnerabilidad de programacion (en nuestro caso de una pagina web) que funciona introduciendo cierto tipo de codigos que logran saltarse una autentificacion o un proceso, lo cual nos puede dar accesso con privilegios a la pagina como tambien mostrar con facilidad datos sencibles(nombres de usuario contraseñas, tablas sql, etc).
estos codigos son diversos, y dependen de pagina en pagina, ya que por la programacion que realizó el desarrollador, puede hacerce el bypass con otro tipo de codigo, que para otra pagina hecha por otro desarrollador
Ahora bien en una página vulnerable a
esto… se encuentra más o menos… así escrita:
<?php
$sql = "SELECT * FROM users WHERE username='".$_POST['username']."’AND password='" . $POST_['password'] . "'";
response = mysql_query($sql);
?>
Logran ver el error? no? acerquémonos un
poco más:
SELECT * FROM users WHERE user='' AND password=''
Muy bien ahora que pasa si modificamos un poco
según como le sindique anteriormente de modo que logremos saltar la autentificación:
SELECT * FROM users WHERE user='admin' AND password='' OR 'a' = 'a'
Como podrán notar, ahora la página solo
verifica que se cumpla la función del password y usuario, ooo… que se cumpla una
verdad en este caso que a sea igual q a (a=a)
Quieren verlo con más detalle y algunos
ejemplos más de cómo usarlo?
Denle click a la siguiente imagen y les
llevara al link para descargarse el Pdf completo
nunca dejen de aprender e investigar, cualquier consulta ya saben pude nacerlo aquí en un comentario o un mensaje por Facebook el de mi página o de la comunidad
Quieren algo en específico y no lo encuentran
en la red? nosotros podríamos saberlo solo pidan
Hasta pronto…
hola me gustaria aprender a hacer SQL Inyeccion en jsp, he buscado y he encontrado muy poca información, me gustaria que me enseñaran
ResponderEliminarLos jsps ya están quedándose obsoletos al menos para Java, así que no te recomendaría invertir tiempo en jsp
ResponderEliminar