NMAP y Nessus, más de 10 años después
El mundo de la seguridad informática ha evolucionado y ha ido cambiando con el paso de los años. Cualquier revisión de seguridad o pentest que se hace actualmente poco tiene que ver a cómo se hacía 10 años atrás. Las metodologías son comunes pero antes se buscaba más algún error en los sistemas (puertos abiertos innecesarios, errores de Sendmail, BIND, Sistemas Operativos, etc.) y hoy en día, se busca más a nivel de aplicación web (SQLi, XSS, CSRF, etc.).
De todas formas y pese a los cambios, herramientas como NMAP y Nessus siguen siendo muy utilizadas y se han ido adaptando al paso del tiempo de forma diferente. NMAP apareció por primera vez en 1997 en un artículo de la revista "Phrack Magazine", Nessus surgió en el año 1998 como el primer scanner de seguridad remoto y gratuito....
Nueva versión de NMAP 5.20
Hacía más de un año, desde julio de 2009, que Fyodor no publicaba una versión estable de la famosa herramienta de seguridad NMAP. NMAP ya no sólo se utiliza únicamente para escanear puertos y ver qué servicios está ofreciendo un determinado sistema sino que, desde hace tiempo y más con esta nueva versión 5.20, es una herramienta indispensable en cualquier revisión de seguridad y como ayuda a los administradores de sistemas....
Inyección de código SQL en MS SQL Server 2005 (Parte 6 de 6)
He aquí el último artículo de esta serie de seis sobre la vulnerabilidad de Inyección de código SQL en MS SQL Server 2005. Una vez obtenidas las tablas, vamos a pasar a obtener los campos de una tabla determinada. Para nuestro ejemplo vamos a obtener los datos de la tabla tabla_usuarios....
Inyección de código SQL en MS SQL Server 2005 (Parte 5 de 6)
Penúltima entrega de estos seis artículos en los que se explica todo lo relacionado con la vulnerabilidad de Inyección de código SQL en MS SQL Server 2005. Ya hemos visto cómo obtener diversa información del servidor, bases de datos, usuarios, etc. Ahora nos vamos a centrar en conseguir los diferentes "hashes" con las contraseñas de los usuarios existentes en la base de datos así como también, ver qué tablas existen....
Inyección de código SQL en MS SQL Server 2005 (Parte 4 de 6)
Empieza la cuarta parte de la guía definitiva sobre la vulnerabilidad de Inyección de código SQL en MS SQL Server 2005 y cómo se explota. Después de ver de qué forma se obtiene diversa información del servidor y de las bases de datos existentes, toca ver qué usuarios existen en la aplicación y qué permisos tienen....
