Grupo: http://groups.google.com/group/forosi/topics
- Concientización [2 actualizaciones]
- Injection SQL Dudas... [7 actualizaciones]
- [forosi:16251] OT - Entrevista Linus Torvald - Pagina 12 [1 actualización]
Tema: Concientización
- Santiago Fernandez <santiagoagustinfernandez@gmail.com> Jun 04 03:56PM -0700 ^
Estimados, soy forista desde hace tiempo. Esta vez, los molesto, por
una oportunidad que se me presenta y tengo ganas de saber su opinión.
La situación, es la siguiente. Trabajo en Seguridad Informática, en
una empresa de Retail. El CISO, de la Cia., me ha recomendado y
encomendado la tarea de realizar un charla de Concientización al
personal. El mismo, no hizo hincapié en nada en particular. Es por
ello, que los molesto. Mi idea, es hacer un workshop donde realicemos,
en tiempo real, una intrusión. La misma, contaría con un payload en un
PDF o una Macro. La parte, técnica, esta resuelta.
Mi problema, se presenta, en el hilo de la charla. Tengo la ganas que
el hilo de la charla sea Ingeniería Social, orientado al hogar del
usuario. Para no herir suspicacias de los oyentes. Y así, lograr que
ellos se lleven algo productivo a su hogar, como un valor agregado
para la Cia.
¿Como abordarían, el tema? ¿Que temas tocarían,? ¿Como? ¿Alguno,
realizo esta experiencia?
Desde ya muchas gracias!
Escenario: Somos una empresa, certificada en ISO27001. Soy parte de
la Jefatura de Technical Information Security Officer. Seguramente,
alguien de Funcional será partener de la misma.
Saludos.
- Daniel Garcia Montes <dgmontes@gmail.com> Jun 04 07:26PM -0500 ^
Para empezar, hay que saber cual es tu audiencia, ¿es personal con formación
técnica? ¿es personal que solo es usuaria de tecnologías de la infromación?
¿cuanto tiempo tienes para tu charla?
En el caso del segundo tipo de público, podrías muy bien hablar de
ingeniería social con ejemplo como las decenas de mensajes de correo que
seguro te han llegado de que te heredaron una fortuna en un país africano, y
cosas por el estilo. Puedes seguir con temas asociados a seguridad en redes
sociales, con temas como las campañas de ¿Donde esta Pablo? o Think before
you post. Otra parte podría ir en relación a la política de escritorio
limpio, en fin hay mucho de donde escoger.
Van algunas ligas de videos al respecto:
http://www.youtube.com/watch?v=SSaabPa2Nxw
http://www.youtube.com/watch?v=2CVNB6EBshY&feature=related
http://www.youtube.com/watch?v=iiTXEFKLbmE
http://www.youtube.com/watch?v=NN_dwH-FOPM
Saludos
Daniel García Montes
UDLAP
México
2011/6/4 Santiago Fernandez <santiagoagustinfernandez@gmail.com>
Tema: Injection SQL Dudas...
- shingo <shingo.grupos@gmail.com> Jun 04 12:13PM -0500 ^
Hola, tengo un problema... (espero pueda hacer una preguta en el lado
atacante), lo que pasa es que parece que me tope con un injection sql, y lo
que pasa es que logro que funcione el comado " ' and 1=1--", luego pruebo el
" ' order by 8--", y funciona ok (tiene 8 columnas, al parecer..), luego con
el union: " ' union select 1,2,3,4,5,6,7,8 --", pero con esto ya no funca,
parece que me esta filtrando los comas, o quizás el "union", debo despejarme
las dudas con los comas.. saben alguna forma de poder sacarle los datos si
usar comas o de otra forma???? jeje ....
se agradece!!!
- shingo <shingo.grupos@gmail.com> Jun 04 12:15PM -0500 ^
Nota: si pruebo el " ' order by 9 -- " ya no funciona y por ello presumo que
tiene 8 columnas
Saludos!!!
- "Cristian Borghello | www.segu-info.com.ar" <segu.info@gmail.com> Jun 04 04:44PM -0300 ^
Hola,
Y esto lo estas haciendo en un entorno de pruebas y q te pertenece y
p/el cual tienes permiso ?
Cristian
- shingo <shingo.grupos@gmail.com> Jun 04 02:59PM -0500 ^
Se podría decir que estoy en el campo de práctica... con el aviso al admin
del problema, por su puesto..
El 4 de junio de 2011 14:44, Cristian Borghello | www.segu-info.com.ar <
- Carlos Tori <soporte@gmail.com> Jun 04 05:04PM -0300 ^
jaja por "su puesto" cuando lo echen del trabajo por tus travesuras...
>> Y esto lo estas haciendo en un entorno de pruebas y q te pertenece y
>> p/el cual tienes permiso ?
>> Cristian
Carlos Tori
PGP ID 0x7F81D818
- shingo <shingo.grupos@gmail.com> Jun 04 03:27PM -0500 ^
si fuese admin, y en una variable, sólo hago un filtrado por comas, me
podrian sacar info de mis tablas con un injection sql??, es suficiente con
este tipo de filtrado? o en el caso de filtrar sólo la cadena "union".. ahi
estan mis dudas :) (soy un chico bueno)...jeje
Salu2!!!
- Jose Carlos Ramirez Tello <jcramireztello@gmail.com> Jun 04 04:47PM -0500 ^
jajaj Bueno chico bueno primero entiendes lo que haces con esa sentencia =)
bueno la idea de ' union select 1,2,3,4,5,6,7,8 -- es para identificar si
realmente cuales de los 8 campos que se seleccionan se insertan en la pagina
web de respuesta, ya que algunos solo son usados internamente por la
aplicación. por cual deberas hacer la prueba de forma decreciente osea luego
7 de ahy 6 de ahy susesivamente ahora en caso no te muestre nada estas
frente a un blind sql injection ahora te recomiendo un poquito mas de
practicas en entorno local yo practico con la aplicacion DVWA y me va bien
- Alejandro Rivero <alerivero71@gmail.com> Jun 04 10:40AM -0300 ^
Cuando habla de el tipo de ideología que no comparte, me parece que hablara
de nuestros políticos...je
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
No hay comentarios:
Publicar un comentario