 Autor
|
Tema: duda sobre inyeccion sql (Leído 2,745 veces)
|
draeq
 Desconectado
Mensajes: 2
|
bueno, se me da bien la inyeccion (basica) a webs que estan con php nuke, o nuket, eso es una cosa facil la cosa, que queria preguntar ( y espero que algun n00b que sepa) me ayude con la pregunta.
he visto tutoriales y demas sobre inyecciones a webs, pero mi pregunta realmente, es se puede hacer una inyeccion a las webs que usen plataformas wordpress? y como¿ algun tutotrial o video que se pueda ver?.
gracias de antemano.
|
|
|
|
|
En línea
|
|
|
|
int_0x40
Desconectado
Mensajes: 300
|
La inyección se hace cuando se pasa código SQL como input desde el browser a una aplicación web vulnerable, la cual convierte dinámicamente y sin hacer el debido filtrado de caracteres a ese input en sentencias que se envían directamente a un servidor SQL o a través de otro nivel intermedio. Si la inyección es exitosa, el servidor SQL con el cual se comunica la aplicación web podrá ejecutar lo que el atacante le indique, con los privilegios con los que se esté ejecutando.
Propiamente la inyección no se hace a la página web, sino al servidor SQL a través de una webapp. Claro que también se puede usar SQLi para hacer deface de una página web y muchas cosas más, pero no es lo mismo.
Cualquier aplicación web que se comunique con un servidor SQL en backend, que use parámetros de input para construir sentencias SQL que se enviarán en las consultas a ese servidor y que no haga un filtrado adecuado, puede ser vulnerable a SQLi.
Saludos.
|
|
|
|
« Última modificación: 25 Julio 2011, 17:00 pm por int_0x40 »
|
En línea
|
"The girl i love...she got long black wavy hair ”
|
|
|
|
 |
