30 abril 2012

Libro: Hacking de Aplicaciones Web: SQL Injection

Pese a que me manejo en inyecciones de SQL, sobre todo en MySQL, compre un ejemplar de este libro que detalla exclusivamente esta vulnerabilidad para fortalecer las partes en la que estoy pez, como por ejemplo SQL Server o las técnicas de "Serialized", a la que dedican un capítulo entero. Además siempre aprovecho para poder escribir luego una entrada como esta en el blog :-)

Los autores son Enrique Rando y Chema Alonso, que ya han publicado otros libros como Hacking con buscadoresAnálisis Forense Digital en Entornos Windows.

El libro consta de más de 250 páginas divididas en cinco capítulos, desde la detección más básica hasta un análisis de las diferencias entre los distintos motores de bases de datos. En concreto su índice a grandes rasgos es el siguiente:

1.- SQL Injection a partir de (casi) cero
2.- Serialized SQL Injection
3.- Blind SQL Injection
4.- Objetivos Llamativos
5.- Otras diferencias entre DBMS

De todas las técnicas que se van exponiendo se muestran scripts de ejemplo para que el lector haga su propio laboratorio y las pruebas que quiera, y a partir de ahí, se describe como se detecta, analiza y explota la vulnerabilidad. El resultado es realmente práctico, ya que si sigues los pasos es prácticamente imposible que no lo entiendas a la perfección. Eso sí, hubiera estado bien que las páginas de prueba se pudieran descargar desde alguna web, ya que tener que "picarlas" desde el libro es un poco tedioso.

Además del detalle técnico, también se habla de herramientas que automatizan el proceso, describiendo su funcionamiento y sus características, ¡y se han acordado de bfsql!, que por cierto, otra persona ha continuado desarrollando en la v2.


El libro cuesta 20€  y hay que solicitarlo en la página web de la editora: Informatica64, la futura O'Reilly.

3 comments :

sui dijo...

^_^, justo esta tarde me llegó el mismo libro, ansioso por empezar a leerlo :-)

Invitado dijo...

Cada vez que haces una reseña me entran ganas de comprar el libro, no sé si es que son muy buenos o los vendes muy bien... o ambas!

Isaac Lleida dijo...

¿Dónde lo puedo comprar viviendo en España?