¿CÓMO HACER FÁCILMENTE INJECCION DE BLIND SQL CON BBQSQL?

Blind SQL injection es casi idéntica a la inyección normal de SQL y afecta a la seguridad en base de datos, la única diferencia es la forma en que los datos se recuperan de la base de datos. Cuando la base de datos no genera datos en la página web, un atacante se ve obligado a robar datos pidiendo a la base de datos una serie de preguntas verdaderas o falsas.

Blind SQL injection puede ser un dolor para explotar. Cuando funcionan las herramientas disponibles, funciona bien, pero cuando no tienen que escribir algo personalizado para romper seguridad en base de datos. Esto es lento y tedioso. BBQSQL puede ayudarle a resolver esos problemas.

BBQSQL es un marco de inyección de BLIND SQL escrito en Python por los expertos de auditoría de base de datos. Es extremadamente útil cuando se atacan vulnerabilidades de inyección SQL complicadas. BBQSQL es también una herramienta semi-automática, que permite un poco de personalización para aquellos difíciles hallazgos provocados por inyección de SQL. La herramienta está construida para ser agnóstico de base de datos y es extremadamente versátil ya que es enseñado durante cursos de seguridad en base de datos como de international institute of cyber security. También tiene una interfaz de usuario intuitiva para hacer la creación de ataques mucho más fácil. Python gevent también se implementa para auditoría de base de datos, haciendo BBQSQL extremadamente rápido.

USO DE ALTO NIVEL

Similar a otras herramientas de inyección de SQL, proporciona cierta información.

Debe proporcionar la información usual:

§  URL

§  HTTP Method

§  Headers

§  Cookies

§  Encoding methods

§  Redirect behavior

§  Files

§  HTTP Auth

§  Proxies

A continuación, especificamos dónde va la inyección y qué sintaxis estamos inyectando.

BBQSQL utiliza dos técnicas cuando se realiza un ataque de inyección SQL blind. La primera y la técnica predeterminada utilizada es binary_search. La segunda técnica que puede utilizar es frequency_search. La búsqueda de frecuencia se basa en un análisis del idioma inglés para determinar la frecuencia con la que un alfabeto a se producirá. Este método de búsqueda es muy rápido contra los datos no entrópicos, pero puede ser lento contra datos no ingleses o datos ofuscados según expertos de auditoría de base de datos de IICS.

Puede especificar binary_search o frequency_search como valor para este parámetro.

 

Ganchos personalizados

A veces tienes que hacer algo realmente loco.

Tal vez usted necesita para cifrar los valores de entrada en un campo antes de enviar la solicitud o tal vez usted lo necesita hacer triple URL encode. Sin embargo, estas situaciones hacen que otras herramientas de auditoría de base de datos sean imposibles de usar. BBQSQL le permite definir funciones de “hook” que la herramienta llamará en varios puntos a lo largo de la solicitud.

Para implementar esto, cree un archivo de Python y especifique las funciones de gancho. En su archivo de ganchos, puede definir tan pocas o muchas de estas funciones de ganchos como desee. En la sección bbqsql_options del menú, puede especificar la ubicación de su hooks_file. BBQSQL tomará este archivo y usará los ganchos que haya definido explican expertos de seguridad en base de datos.

Read More

SEGURIDAD Y DESTRUCCIÓN DE DOCUMENTOS CONFIDENCIALES EN LA INDUSTRIA DE LA SALUD

¿QUÉ ES UN EXPEDIENTE MÉDICO?

Acuerdo a expertos de DIM, una empresa de destrucción de documentos, un “historial médico” es un término general para toda la información recopilada sobre un paciente con el propósito de tratar a ese paciente, incluyendo:

§  Notas de progreso

§  Cartas de especialistas y otras correspondencias

§  Resultados de la prueba

§  Rayos X y exploraciones

§  Fotografías

§  Grabaciones digitales

§  Libros de citas y cuentas de pacientes

Según los expertos de destrucción de documentos, los registros médicos deben incluir la siguiente información:

§  Identificación del paciente

§  Información relevante para el diagnóstico o tratamiento

§  Plan de tratamiento

§  Medicación y niveles de dosificación

§  Información y asesoramiento, discusiones de consentimiento

§  Detalles de cualquier procedimiento médico o quirúrgico

§  Resumen de salud que es fácilmente accesible, incluyendo historia significativa, medicamentos, alergias

¿CÓMO DEBEN ALMACENARSE LOS REGISTROS MÉDICOS?

Los registros médicos pueden guardarse en papel o en formato electrónico, o una combinación de ambos que sea fácil para destrucción de documentos. Cuando se utiliza un “híbrido” de registros de papel y electrónicos, se requiere un sistema para hacer una referencia cruzada a los registros de cada paciente.

¿CUÁNTO TIEMPO DEBEN MANTENERSE LOS REGISTROS MÉDICOS?

Los registros médicos deben ser conservados durante el tiempo requerido por la legislación pertinente del estado o del territorio para destrucción de documentos confidenciales. Por lo general, esto significa que los expedientes médicos inactivos del paciente individual deben mantenerse hasta que el paciente haya alcanzado la edad de 25 años o por un mínimo de siete años desde el último contacto, lo que sea más largo.

DESTRUCCIÓN DE DOCUMENTOS CONFIDENCIALES O REGISTROS MÉDICOS EN PAPEL

Se permite la eliminación de copias en papel de notas que se han transferido o escaneado en los registros electrónicos siempre y cuando la destrucción de documentos se haga de una manera que preserve la confidencialidad y cumpla con los requisitos legales. Se debe mantener un registro de todos los registros que se han destruido.

MANTENER REGISTROS MÉDICOS SEGUROS

Las organizaciones que tienen información de salud deben tomar medidas razonables para proteger la información de la pérdida y el uso no autorizado o divulgación. Según expertos de destrucción de documentos, para garantizar que los registros electrónicos se mantengan a salvo de daños, pérdida o robo, debe realizarse una copia de seguridad completa del registro de la computadora y de los discos de copia de seguridad almacenados fuera del sitio. Las computadoras deben estar protegidas por contraseña y las contraseñas cambiarán de forma regular.

Busque asesoramiento de un especialista en TI en relación con la protección contra el acceso no autorizado, la modificación de registros, virus informáticos, firewalls y la calidad de resolución de los documentos escaneados o ayuda de una empresa profesional de destrucción de documentos.

Read More