Skip to main content Link Menu Expand (external link) Document Search Copy Copied
SQLi en la práctica: De la explotación a la prevención

Ambiente de pruebas

Para los laboratorios se utilizan las siguientes herramientas:

  • Herramientas para pruebas de penetración de aplicaciones web (proxies de ataque):
    • OWASP ZAP: para instalarlo e inspeccionar aplicaciones manualmente en un navegador, ver en la guía básica las secciones “Install and Configure ZAP” y “Exploring an Application Manually” respectivamente.
    • Burp Suite Community Edition (versión gratuita): para información de instalación y uso, ver la guía de PortSwigger que contiene imágenes y videos.
  • Servicio DNS que pueda escuchar peticiones generadas por el servidor víctima: en este caso se usa Burp Collaborator (parte de Burp Suite Professional [versión paga]), por restricciones de la plataforma de ejercicios.
  • Python 3.X.
  • sqlmap.

Las prácticas son ejercicios públicos y gratuitos del tema “SQL injection” de Web Security Academy de PortSwigger. Es necesario crearse una cuenta en la web para acceder a las instancias de laboratorio. Para crearse una cuenta se puede ir aquí.