COMO SABER SI UN FORMULARIO ES VULNERABLE A SQL-INJECTION?
(1/1)
competitivo:
que debo introducir en un formulario para saber si es vulnerable? no quiero saber que comando he de introducir para sacar informacion, sino simplemente para saber si es vulnerable o no. gracias
byebye:
una modificacion a la consulta por ejemplo.
el-brujo:
pues por el fomulario en sí, no se puede saber, todo depende de la consulta internea que haga el webmaster (que no se puede ver) pero como dice Mr. Potato se puede ir probando para adivinar que consulta hay y si es vulnerable a un SQL Injection.
Algunos programadores "limpian" o comprueban los campos de login y pasword, asi que no son vulnerables.
Se trataría de ir añadiendo código (injection) en los campos de password o login para obetener información. Prueba con los tipicos 'or 1=1, o 'like tal', etc. Si eso no funciona, prueba con "union", etc, etc, etc.
Hay un montón de manuales sobre el tema, con ejemplos y explicaciones.
Navegación