elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Sql injection, ¿hay vulnerabilidad o no?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Sql injection, ¿hay vulnerabilidad o no?  (Leído 2,993 veces)
in2c0de

Desconectado Desconectado

Mensajes: 12


Ver Perfil
Sql injection, ¿hay vulnerabilidad o no?
« en: 12 Febrero 2016, 20:20 pm »

Mirad, en una página web encontré 152 vulnerabilidades gracias a web cruiser, pero cuando voy en un de estas páginas para efectuar una sql injection esta página web me dice que no tengo permiso para acceder a los recursos que he pedido, ¿esto es que no hay vulnerabilidad? ¿O está "escondida" de alguna manera? Si no hay vulnerabilidades con sql injection ¿se puede intentar acceder a la base de datos de la página mediante otras formas?
Perdón si he dicho alguna tontería esque soy bastante nuevo en esto de la sql injection xD
¡Un saludo!
En línea

Floodish

Desconectado Desconectado

Mensajes: 8


Todo permitido, mientras sea con inteligencia.


Ver Perfil
Re: Sql injection, ¿hay vulnerabilidad o no?
« Respuesta #1 en: 15 Febrero 2016, 12:01 pm »

Creo que a lo que te referís son a los famosos "403" "406" ?

A mi parecer, si el WebCruiser te lo toma como vulnerabilidad, tendrías que adentrarte un poco más en esta "vulnerabilidad", seguramente lo sea, pero no visible tan fácilmente (esto suele suceder cuando quieren forzar a esconder una falla, pero no a modificarla)

Sinceramente, no sé mucho sobre SqlInjection, lo que si te puedo decir, es que intentes buscar la vulnerabilidad visible, usa las 152 "vulnerabilidades" encontradas, y fijate si con alguna te resulta. No te puedo ayudar más que con eso, ya que no estoy muy adentrado en el tema

Saludos y si lo solucionas contame como te fue, suerte. ;-) ;-)
En línea

<?php
         include("cerebro.php");
                  // lo que pensamos
             $a = "hacktivismo";
             $b = "is real";
                           // lo que estamos por hacer...
                      echo "el $a<br>";
                      echo $b;
?>
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Sql injection, ¿hay vulnerabilidad o no?
« Respuesta #2 en: 15 Febrero 2016, 17:17 pm »

En algunas ocasiones filtran las peticiones que tengan SQL y muetran un error 404. Por ej:

Quizás este ej lo filtre
Código
  1. -- -1 union select 1,2,3,4

Ahora lo cambio por:
Código
  1. -- -1 uNiOn SeLeCt 1,2,3,4
  2. -- (1)and(0)union select 1,2,3,4
  3. -- (1)and(0)union/*xDxD*/select 1,2,3,4
  4. -- (1)and(0)union%23xDxD%0Aselect 1,2,3,4
  5. -- (1)and(0)union%23xDxD%0A%23xDxD%0A%23xDxD%0A%23xDxD%0Aselect 1,2,3,4

Es lo mismo pero se intenta evadir el filtro!
En línea

Te vendería mi talento por poder dormir tranquilo.
in2c0de

Desconectado Desconectado

Mensajes: 12


Ver Perfil
Re: Sql injection, ¿hay vulnerabilidad o no?
« Respuesta #3 en: 26 Febrero 2016, 22:54 pm »

¡Muchas gracias me lo miraré!
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Sql injection, ¿hay vulnerabilidad o no?
« Respuesta #4 en: 27 Febrero 2016, 03:20 am »

Probablemente sean falsos positivos o una agrupación de la misma vulnerabilidad expresada en muchas maneras. Tienes la url del sitio web para darle un vistazo?
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Vulnerabilidad Tuenti (SQL Injection)
Nivel Web
Constantinoplero 1 3,630 Último mensaje 1 Diciembre 2009, 19:52 pm
por xassiz_
CAST EXEC en sql injection(Automated Sql Injection)
Nivel Web
EvilGoblin 2 5,172 Último mensaje 11 Julio 2010, 22:25 pm
por EvilGoblin
Consulta sobre vulnerabilidad para SQL Injection « 1 2 »
Nivel Web
druppy 11 11,582 Último mensaje 4 Abril 2013, 00:31 am
por csaralg
Vulnerabilidad URL SQL Injection
Nivel Web
WiseHidden 8 7,311 Último mensaje 28 Septiembre 2012, 21:00 pm
por WiseHidden
Xss injection & sql injection pequeña duda.
Nivel Web
6666 6 3,835 Último mensaje 12 Septiembre 2014, 07:27 am
por 6666
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines