⌘K
ENES
GitHub
playbookPlaybooks de Seguridad~1 min de lecturaActualizado Apr 23, 2026

Exploit SQL Injection

Objetivo

Determinar si input controlado por el usuario puede alterar la lógica de queries SQL de forma que cambie acceso, datos o comportamiento.

Supuestos

  • uno o más endpoints envían input no confiable a una capa de base de datos
  • la construcción de queries puede no estar parametrizada de forma segura en todos lados
  • las features secundarias suelen ser más débiles que los flujos principales

Prerrequisitos

  • endpoints con input controlado por usuario
  • capacidad de hacer replay y comparar requests
  • entorno de prueba seguro y autorización para probe

Pasos de recon

  1. Mapeá todo input controlado por usuario: query params, forms, JSON, cookies, headers.
  2. Buscá filtros, sorting, búsqueda, exports y features solo-admin.
  3. Notá comportamiento de errores, timing y cambios de contenido.

Pasos de exploit / testing

  1. Enviá probes simples de sintaxis para detectar influencia sobre el parser.
  2. Probá diferencias booleanas y de timing cuando corresponda.
  3. Compará comportamiento de éxito/falla entre endpoints.
  4. Probá inputs menos obvios como headers, params ocultos o rutas mobile/API.
  5. Confirmá si el issue es read-only, auth bypass o control más amplio de query.

Señales de validación

  • errores SQL o stack traces
  • diferencias de contenido bajo condiciones booleanas
  • diferencias de timing medibles
  • comportamiento de auth o acceso a datos cambia inesperadamente

Mitigación

  • parametrizar queries de forma consistente
  • evitar concatenación raw de strings
  • limitar privilegios de DB
  • revisar query-building helpers y ORMs por escape hatches inseguros
  • monitorear patrones sospechosos de queries de forma segura

Logging / detección

  • probes repetitivos con forma de sintaxis
  • patrones anormales de timing de query
  • errores alrededor de parsing de query o type coercion

Notas relacionadas

Referencias

  • Testing / Lab: PortSwigger SQL injection topic — https://portswigger.net/web-security/sql-injection
  • Fundamental: OWASP Top 10 Injection — https://owasp.org/Top10/2021/A03_2021-Injection/
  • Fundamental: OWASP WSTG — https://owasp.org/www-project-web-security-testing-guide/latest/

Notas relacionadas

Playbooks de SeguridadBreak JWT ValidationIdentificar si el manejo de JWT es lo suficientemente débil como para aceptar tokens inválidos, viejos, mal scopeados o influenciados por un atacante. Playbooks de SeguridadDetectar la recolección de BloodHoundDetectar la enumeración de Active Directory por colectores de la familia BloodHound (SharpHound / BloodHound-CE y sucesores como SOAPHound) lo suficientemente temprano como para identificar el host de origen, el principal de origen y el método de recolección antes de que el operador convierta el grafo de ataque resultante en una cadena Kerberoast → DCSync → Domain Admin — y con suficiente fidelidad como para sobrevivir a las evasiones realistas de 2026 (LDAP paginado/throttleado, recolección DCOnly, abuso de AD Web Services, colectores custom en memoria). Playbooks de SeguridadDetectar DCSync y acceso a ntds.ditDetectar las dos formas de extracción masiva de credenciales de Active Directory — DCSync (IDLDRSGetNCChanges vía la interfaz RPC DRSUAPI) y extracción offline de ntds.dit (acceso a nivel archivo, abuso de shadow-copy VSS, invocaciones de ntdsutil) — con fidelidad suficiente para identificar el principal origen, las cuentas afectadas y la ventana posterior a la extracción antes de que puedan usarse tickets falsificados (Golden Ticket o Silver Ticket). Playbooks de SeguridadDetect External Recon Scan PipelineDetectar a un operador externo corriendo un pipeline de recon de dos fases Masscan → Nmap-NSE (el playbook ofensivo Run External Recon Scan Pipeline) contra tu perímetro, con fidelidad suficiente para identificar fuente, scope e intención en minutos — antes de que los hallazgos de la fase de profundidad se conviertan en explotación posterior. Playbooks de SeguridadDetectar Kerberoasting y AS-REP RoastingDetectar las dos familias de ataques de credenciales Kerberos en Active Directory (Kerberoasting y AS-REP Roasting) mediante análisis behavioral sobre Event IDs 4768/4769 y telemetría complementaria, con fidelidad suficiente para identificar la cuenta origen, el host atacante y el alcance en minutos, y con durabilidad suficiente para sobrevivir pequeñas variaciones de tradecraft del operador (tipo de cifrado, tasa de requests, selección de cuentas). Playbooks de SeguridadExploit IDORDeterminar si los identificadores de objetos pueden manipularse para acceder a datos o acciones de otro usuario.