Querido Diario..

Hoy encontré un SQL injection, de lo más sencillo. En una forma de autenticación, lance un Intruder…

… y ¡zas!.

Esto es algo que yo hago en cada uno de los forumlarios y request que me voy encontrando en donde hay campos de entrada; e incluso cuando hay algún JSON que mande datos a la aplicación.

Mis entradas son muy sencillas, y únicamente en el introduder me voy fijando en el response. Un tip es fijarse en el tamaño del response, así se pueden detectar variaciones, y si son incrementales, se pueden descartar, porque a veces se muestran errores con el input reflejado. Mis strings de prueba, son muy sencillas:

Peroooo… fue duplicado; así que el día de hoy fue un día de trabajo en vano =/

Querido Diario…

Si te gustó Dunkerque, te va a gustar 1917. Me gusta más Dunkerque porque es más histórica, y 1917 es más «heróica», pero aun así es muy parecida.

Extraño mucho ver películas contigo, platicar sobre ellas…