Esto no es sólo un interesante truco académico: es una forma de explotación de la seguridad. El nombre obvio para esto es inyección de prompt. ¿Por qué es importante? GPT-3 ofrece una API de pago. Esa API ya está siendo utilizada por personas para construir software personalizado que utiliza GPT-3 bajo el capó. Una cosa sorprendente de trabajar con GPT-3 de esta manera es que el propio prompt se convierte en IP importante. No es difícil imaginar futuras empresas para las que la salsa secreta de su producto sea un prompt cuidadosamente [...]

Me preguntaba cuál sería la mejor forma de actualizar mi placa base de un 386. Tiene una CPU 386 soldada, un zócalo 386 PGA no instalado y un zócalo para 387 FPU o 486 PGA (o podría ser para un Weitek, no estoy muy seguro) e incluso podría tener un 486SX PQFP soldado. Muchas opciones… pero, ¿qué tal hackear la placa para instalar un Pentium?

El soporte de la notación científica por varias bases de datos como MySQL permite saltar las protecciones del firewall de Amazon y ModSecurity para la ejecución de vulnerabilidades SQL Injection

Maquina de inyección de plástico con plástico reciclado controlada por Arduino

Según un informe de Amnistía Internacional www.amnesty.org/en/latest/research/2020/06/moroccan-journalist-targete el periodista marroquí Omar Radi sufrió la intervención de su teléfono móvil a través de un ataque de inyección de red empleando herramientas de la empresa NSO group.

Hoy conocemos que los procesadores de Intel se ven afectados por una nueva vulnerabilidad, la cual ha sido bautizada como Load Value Injection (LVI).

El investigador Tal Melamed, director de seguridad y hacking ético de Protego, ha descubierto que es posible vulnerar aplicaciones instaladas en Alexa mediante la técnica de inyección SQL (SQLi en inglés) si éstas no realizan una correcta validación de datos . Lo único que tendría que hacer el usuario malicioso sería ejecutar comandos por voz (en lugar de por teclado, como es lo usual) utilizando traducciones de texto para obtener acceso a las aplicaciones con fallas de seguridad y que contienen información sensible.

Primeros ponentes confirmados de RootedCON 2018 Chema Alonso - Wild Wild WiFi: Dancing with Wolves Ilfak Guilfanov - Decompiler internals: microcode Raul Siles - IoT: Internet of T... Pedro Cabrera Camara - Ataques SDR a Smart TVs: URL y channel injection Abel Valero - VM + VFS = The Wooden Horse Joaquin Molina Balsalobre - Mensajería y transporte, quiero mi paquete !!! y el tuyo, y el tuyo, y el tuyo... Más información en rootedcon.com

El libro está centrado en explotar diferentes vulnerabilidades de los sistemas basados en tecnologías web, sin tocar para nada las técnicas de SQL Injection, de las que ya sabéis que escribimos otro libro Enrique Rando y yo. En éste libro nos centramos en otros tipos de ataques como son, por ejemplo, los ataques a las tecnologías LDAP, ataques a Connection String, los ataques de Info Leaks, las técnicas de Local File Inclusion o XPath Injection.

As SQL Injection attacks are one of the most common issues in web applications, the CVE-2016-6662 vulnerabilty could put web applications at a critical risk in case of a successful SQL Injection attack.

Por desgracia es muy común encontrarse con sitios webs que se dedican a fusilar el contenido de blogs sin permiso, copiando de forma integra lo que se publica en otras páginas web o blogs. Los peores de todos ellos son los que directamente sindican el contenido vía RSS, de manera que en su blog o sitio web se crea una entrada nueva por cada artículo que se publique en el sitio original. Esta técnica de copia de contenido por sindicación vía RSS es la protagonista de esta historia y de cómo un ataque de Pr0n RSS Injection acabó con él.

El asunto del SQL Injection aparecía en la descripción, donde los autores presumen de que son unos tipos mega hax0RDs con capacidades superiores a las que tienen los ingenieros de seguridad de Facebook y todos los investigadores que participan en el Bug Bounty, y con capacidades de sacar las passwords usando Fuerza Bruta y bugs de SQL Injection que sólo ellos tienen.

Ejemplo de cómo por medio de un bug de Path Transversal o LFI se puede llegar hasta la base de datos del sistema. Las técnicas no son nuevas, pero en OWASP TOP Ten siguen estando presentes. En ese ejemplo Amador explica los diferentes formas en que puede explotarse un Path Transversal con manipulación de codificación BASE64, ataques SQL Injection o simplemente buscando los archivos de configuración de la aplicación web.

Según se describe en este artículo de La 9 de Anon, la web del Ayuntamiento de A Coruña ha sido hackeada y desde ella se ha accedido a una base de datos utilizando Blind SQL Injection para extraer los datos de los ciudadanos. Según parece los miembros, después de notificarlo y ejecutar un defacement, han sido detenidos y están en libertad con cargos. Si alguien tiene más información que la ponga en los comentarios, por favor.

Solo avisar y sentirlo mucho por los Sysadmin Windows 7 y 8, ambos son también vulnerables a Bash Shellshock Bug. Relacionada: thesecurityfactory.be/command-injection-windows.html