 Autor
|
Tema: ayuda con injection sql (Leído 2,058 veces)
|
antoniocaro
 Desconectado
Mensajes: 9
|
hola que tal soy nuevo en el foro, tengo tiempo leyendo sobre sql y tengo un problema raro hay una aplicacion que encontre vulnerable, les explico
tiene una variable llamada p=x donde x es un numero y este numero corresponde a un usuario, si le ingreso este codigo hi' or 'a'='a me arroja todos los usuarios que existen por eso creo que es una injeccion pero al agregarle algun otro dato ia no puedo hacer nada alguien me puede ayudar, con que me digan que tipo de injecion es
muchas gracias
|
|
|
|
|
En línea
|
|
|
|
m0rf
Desconectado
Mensajes: 828
BACK!
|
Te arroja todos los usuarios ????
Me lo pudes mandar por mp la url d la web para comprobar que es verdad?
Gracias.
|
|
|
|
|
En línea
|
Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?
|
|
|
antoniocaro
Desconectado
Mensajes: 9
|
perdon pero no puedo es una web de un amigo y contiene datos delicados, pero si me arroja todos los usuarios , si puedes ayudarme solo darme ideas de lo que podria hacer te lo agradeceria mucho muchas gracias
|
|
|
|
|
En línea
|
|
|
|
m0rf
Desconectado
Mensajes: 828
BACK!
|
Exactamente que quieres hacer?
Te recomiendo intentar saber que base de datos utiliza ya que supuestamente es vulnerable y te arroja todos los usuarios, esto quiere decir que no valida bien el string ( o otra cosa pero con los datos que me das es lo que se me ocurre...) .
Puedes enviarle comandos que acepte, dependiendo de la base de datos que tenga instalada tendras que enviar unas peticiones o otras. Si te cuesta encontrar algun manual sobre esto solo tienes que decirlo y te pongo aquí unos cuantos que tengo bastante buenos.
Saludos.
|
|
|
|
|
En línea
|
Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?
|
|
|
|
 |
