bytes.cat

La wiki d'FP d'informàtica

Eines de l'usuari

Eines del lloc

Camí:
sql_injection

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Ambdós costats versió prèvia Revisió prèvia
Següent revisió 		Revisió prèvia
sql_injection [2022/10/14 08:17]
enrique_mieza_sanchez [SQL Injection] 		sql_injection [2024/04/07 20:06] (actual)
enric_mieza_sanchez [Proves de seguretat amb BURP Suite]
Línia 29: Línia 29:
   - Prova de fer un atac amb 2 sentències SQL seguides, tal i com fa Bobby Tables.   - Prova de fer un atac amb 2 sentències SQL seguides, tal i com fa Bobby Tables.
   - Busca com cal fer les consultes PDO de PHP per tal de que deixin de ser vulnerables. [[https://diego.com.es/tutorial-de-pdo|Aquest article de PDO]] ho explica força bé (secció "Registrar datos con PDO").   - Busca com cal fer les consultes PDO de PHP per tal de que deixin de ser vulnerables. [[https://diego.com.es/tutorial-de-pdo|Aquest article de PDO]] ho explica força bé (secció "Registrar datos con PDO").
-  - Fes un //fork// del projecte al teu compte de Github i soluciona la vulnerabilitat.+  - Fes un //fork// del projecte al teu compte de Github i soluciona la vulnerabilitat. Anomena el //script// parxejat ''index2.php''.
 </WRAP> </WRAP>
  
Línia 39: Línia 39:
  
 Referències: Referències:
-  * Pàgina oficial DVWA: https://dvwa.co.uk/ +  * Pàgina oficial DVWA: https://github.com/digininja/DVWA 
-  * Versió Docker DVWA: https://hub.docker.com/r/vulnerables/web-dvwa+  * Una versió "cachejada" de l'antiga web oficial: http://web.archive.org/web/20181231150718/http://dvwa.co.uk/ 
 +  * Versió Docker DVWA (obsoleta): https://hub.docker.com/r/vulnerables/web-dvwa
  
-Es pot posar en marxa molt fàcilment amb: +Descarrega el repo oficial i l'aixequem amb docker-compose: 
-  $ docker run --rm -it -p 80:80 vulnerables/web-dvwa+  $ git clone https://github.com/digininja/DVWA 
 +  $ cd DVWA 
 +  $ docker-compose up ---build
  
-Entra amb usuari "admin" i "password".+Podràs visualitzar l'aplicació DVWA a http://localhost:4280 
 + 
 +Entra amb usuari "admin" i "password". Fes el setup per configurar la BD.
  
 Vés a la secció "SQL injection" i prova algun dels atacs que se't puguin acudir. **Pots mirar el codi PHP que s'utilitza amb el botó "View source"**. Vés a la secció "SQL injection" i prova algun dels atacs que se't puguin acudir. **Pots mirar el codi PHP que s'utilitza amb el botó "View source"**.
Línia 64: Línia 69:
 \\ \\
  
-===== BURP Suite =====+===== Proves de seguretat amb BURP Suite =====
  
-BURP Suite és una potent eina per analitzar vulnerabilitats de llocs web. +<WRAP info
- +Pots seguir en l'article [[Proves de seguretat]] on aprendràs com fer proves de penetració automatitzades (escanejos de vulnerabilitats) i informes d'aplicacions web que vulguem analitzar.
-Té 3 versions: Community (free), Professional (permet trial de 1 mes) i Enterprise. La versió Community permet fer anàlisis diverses però no permet fer //scan//, que és la opció més potent per fer informes. +
- +
-Referències: +
-  * Getting started: https://portswigger.net/burp/documentation/desktop/getting-started +
-  * https://portswigger.net/support/using-burp-to-detect-sql-injection-flaws +
- +
-<WRAP todo+
-Exercicis BURP Suite: +
-  - Descarrega la versió Professional i subscriu una //trial key//. +
-  - Segueix el tutorial següent per fer un seguiment de l'activitat. +
-  - Fes un //scan// configurant prèviament usuari i contrasenya al menú "Application Login"+
-  - Elabora un informe de vulnerabilitat per a cadascun dels nivells de seguretat de DVWA.+
 </WRAP> </WRAP>
  
 \\ \\
 +
  
sql_injection.1665735446.txt.gz · Darrera modificació: 2022/10/14 08:17 per enrique_mieza_sanchez

Eines de la pàgina

Excepte on es digui una altra cosa, el contingut d'aquest wiki està subjecte a la llicència següent: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki