Actividad: Inyección SQL
Completion requirements
En esta actividad intentaremos detectar y explotar una vulnerabilidad de tipo inyección SQL presente (de forma deliberada) en una aplicación web.
Para realizar esta actividad han de seguirse los siguientes pasos:
- Descargar el código fuente de la aplicación de prueba con la vulnerabilidad desde el enlace https://github.com/jairochapela/flask-sql-injection
- Seguir los pasos indicados en el documento README.md (presente en el repositorio de código fuente de la aplicación) para ponerla en marcha como un servicio local.
- Utilizar la herramienta Dirb para detectar posibles puntos de entrada.
- Utilizar la herramienta sqlmap para explotar posibles vulnerabilidades de inyección SQL y extraer información confidencial (tal como nombres de usuario y contraseña) de la base de datos de la aplicación.
- Utilizar la información obtenida para obtener acceso a la parte privada de la aplicación web.
- Documentar todo el proceso, aportando evidencias de los logros conseguidos.