Entrevista A Miroslav Stampar, Creador De SQLMap

Si has estudiado las técnicas de Hacking de aplicaciones Web has tenido que estudiar las técnicas de SQL Injection.

Durante varios años, yo dediqué varios años de mi vida al SQLi, Blind SQLi, Arithmetic SQLi, Time-Based Blind SQLi, Remote File Downloading using SQLi, Time-Based Blind SQLi Using Heavy Queries [ https://www.elladodelmal.com/2008/01/time-based-blind-sql-injection-using.html ] , y a sus amigas LDAPi, Blind LDAPi, BXPi y mis queridos Connection String Attacks donde tuve el culmen de la diversión con las técnicas de Connection String Parameter Pollution

[ https://www.elladodelmal.com/2009/09/conection-string-attacks-i-de-vi.html ].

De aquellos años salieron dos libros que a día de hoy seguimos manteniendo y actualizando en 0xWord: Hacking Web Applications – SQL Injection [ http://0xword.com/es/libros/25-libro-hacking-aplicaciones-web-sql-injection.html ] y Hacking Web Technologies [ https://0xword.com/es/libros/81-hacking-web-technologies.html ].

Durante aquellos años de estudio siempre había un trabajo que mirábamos de refilón constantemente para ver cómo evolucionaba, cómo avanzaba. Nuestro querido SQLMap escrito por Bernardo Damele y Miroslav Stampar [ https://mypublicinbox.com/MiroslavStampar ] . Ellos estaban construyendo un framework de explotación de SQLi mientras que Yo con mis compañeros estábamos más interesados en ir descubriendo nuevas posibilidades con nuevas PoCs, sin pensar en la construcción de ningún framework. ¿Para qué? Ya estaba SQLMap [ https://sqlmap.org/ ] y lo hacía cojonudamente.

Figura: SQLmap [https://sqlmap.org/ ]

Cada nueva versión pulía mejor las nuevas formas de explotar las vulnerabilidades. Cada nueva versión traía nuevas mejoras, nuevos comandos, nuevas herramientas para explotar mejor y más rápido. Y se convirtió en una herramienta fundamental en nuestros proyectos de pentesting. ¿Cómo no? Era un framework que podías automatizar, integrar en tus scripts, en tus pruebas automáticas y manuales. Así que, mientras nosotros jugábamos con la investigación pura y dura de las técnicas de SQLi, SQLMap crecía y se convertía en una leyenda dentro del mundo del hacking.

Por supuesto, Miroslav Stampar y yo nos habíamos cruzado en varias CONs de hackers por el mundo, pero no había tenido la suerte de que nos presentaran oficialmente, así que cuando este año pasado estuve en Abu Dhabi en la Hack-in-the-Box y vi que Igor Lukic estaba con él, le dije: “Friend, preséntamelo!Y nos conocimos, y nos tiramos una fotaca para el recuerdo.