elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Consulta sobre vulnerabilidad para SQL Injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Consulta sobre vulnerabilidad para SQL Injection  (Leído 11,582 veces)
druppy

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Consulta sobre vulnerabilidad para SQL Injection
« en: 15 Diciembre 2010, 21:28 pm »



He estado buscando la posibilidad de hacer una inyección SQL sobre sitios con cierto grado de seguridad, específicamente los que ponen error 406 + error 404.
Entiendo que el programa detecta un intento de manipulación por inserción de querys. Busqué pero sólo encontre un blog con un bypass que no funcionó:

Código:
 -1 /*!union*/ select 1,2,3,4,5,6,7.... --

El sitio es:

Código:
http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+union+select+1--

Pero independiente de eso, mi pregunta es la siguiente;
¿Existe alguna manera o procedimiento para saltar esta barrera de seguridad, o simplemente no es posible realizar la inyección SQL y debiera buscar otro tipo de vulnerabilidad?

Muchas gracias de antemano.
« Última modificación: 15 Diciembre 2010, 21:35 pm por druppy » En línea

Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #1 en: 15 Diciembre 2010, 23:54 pm »

busca otra vulnerabilidad, para q se pueda en sql i ,tiene q aparecer algun error de sql xD
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #2 en: 16 Diciembre 2010, 02:45 am »

No necesariamente se necesita que aparezca un error del MySQL para que pueda ser iSQL.
En línea

Te vendería mi talento por poder dormir tranquilo.
druppy

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #3 en: 16 Diciembre 2010, 02:58 am »

Independiente de la página, pensando en el mejor de los casos de que existiera un error del DBMS, ¿es posible saltarse el error 404 y 406?
Tengo entendido que estos son mecanismos de seguridad, y lo pregunto por si tuviera la oportunidad de implementar estas paginas de error frente a querys inyectadas contra mi propia página, quiero saber si me puedo sentir 90% tranquilo de que estoy seguro con este sistema de páginas de error.
En línea

volteo0101

Desconectado Desconectado

Mensajes: 27


Ver Perfil
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #4 en: 27 Diciembre 2010, 11:31 am »

busca otra vulnerabilidad, para q se pueda en sql i ,tiene q aparecer algun error de sql xD

hay administradores que desactivan en el php.ini unas lineas para que el sql en caso de error no los devuelva, en ese caso surgen la blind sql inyect. xD
creeria que no vas a poder hacer el mysql inyection,el error 404 sale cuando el servidor no encuentra la pagina que solicitas con la consulta http
« Última modificación: 27 Diciembre 2010, 11:33 am por volteo0101 » En línea

z00mbi3XDaps00n

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #5 en: 10 Agosto 2011, 21:32 pm »

Hola amigo, espero que aun te sirva que te responda el tema :) pero pues creo que la solución es engañar el sistema de filtrado mira he intendado esto y ya no da el error 406:

Código:
http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+un/**/ion+/*!select*/+1--

Espero te sirva, saludos desde México :)  :P

En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #6 en: 10 Agosto 2011, 22:14 pm »

A eso si mal no recuerdo se le llama IDS's (Sistemas de Detección de Intrusos).
Más información: :http://alguienenlafisi.blogspot.com/2011/07/una-inyeccion-bastante-especial.html {RECOMENDADO}
En línea

Te vendería mi talento por poder dormir tranquilo.
madpitbull_99
Colaborador
***
Desconectado Desconectado

Mensajes: 1.911



Ver Perfil WWW
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #7 en: 10 Agosto 2011, 22:36 pm »

Introducción a los Web Application Firewalls (WAF).

Va de lo mismo, firewalls para aplicaciones web, seguramente por eso te salga ese error.


PD: Acabo de ver la fecha del post. ¿Porque respondéis a estos temas?
« Última modificación: 10 Agosto 2011, 22:50 pm por madpitbull_99 » En línea



«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red
MauroMasciar


Desconectado Desconectado

Mensajes: 567



Ver Perfil
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #8 en: 10 Agosto 2011, 22:43 pm »

Hola amigo, espero que aun te sirva que te responda el tema :) pero pues creo que la solución es engañar el sistema de filtrado mira he intendado esto y ya no da el error 406:

Código:
http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+un/**/ion+/*!select*/+1--

Espero te sirva, saludos desde México :)  :P



No lo creo...
Citar
« Respuesta #4 en: Diciembre 27, 2010, 06:31:37 »
En línea

Tutto ha oceani da attraversare mentre hanno il coraggio di farlo Avventato? Ma sanno sogni di limiti

Twitter: @MauroMasciar
z00mbi3XDaps00n

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Consulta sobre vulnerabilidad para SQL Injection
« Respuesta #9 en: 11 Agosto 2011, 00:51 am »

Si lo mismo supuse. Pero por si alguien se topara con el tema tendria alguna respuesta esperanzadora :) gracias x el link de la pagina la leere.  saluedos :)
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Vulnerabilidad Tuenti (SQL Injection)
Nivel Web
Constantinoplero 1 3,630 Último mensaje 1 Diciembre 2009, 19:52 pm
por xassiz_
CONSULTA: Vulnerabilidad VBulletin
Hacking
Pabloxxx 9 6,615 Último mensaje 15 Julio 2011, 22:41 pm
por Pabloxxx
Vulnerabilidad URL SQL Injection
Nivel Web
WiseHidden 8 7,311 Último mensaje 28 Septiembre 2012, 21:00 pm
por WiseHidden
Sql injection, ¿hay vulnerabilidad o no?
Hacking
in2c0de 4 2,992 Último mensaje 27 Febrero 2016, 03:20 am
por WHK
Consulta con bypass y sql injection
Bugs y Exploits
Reon 1 3,650 Último mensaje 23 Febrero 2016, 12:56 pm
por .:UND3R:.
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines