 Autor
|
Tema: Consulta sobre vulnerabilidad para SQL Injection (Leído 11,055 veces)
|
druppy
 Desconectado
Mensajes: 4
|
 He estado buscando la posibilidad de hacer una inyección SQL sobre sitios con cierto grado de seguridad, específicamente los que ponen error 406 + error 404. Entiendo que el programa detecta un intento de manipulación por inserción de querys. Busqué pero sólo encontre un blog con un bypass que no funcionó: -1 /*!union*/ select 1,2,3,4,5,6,7.... -- El sitio es: http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+union+select+1-- Pero independiente de eso, mi pregunta es la siguiente; ¿Existe alguna manera o procedimiento para saltar esta barrera de seguridad, o simplemente no es posible realizar la inyección SQL y debiera buscar otro tipo de vulnerabilidad? Muchas gracias de antemano.
|
|
|
|
« Última modificación: 15 Diciembre 2010, 21:35 pm por druppy »
|
En línea
|
|
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
busca otra vulnerabilidad, para q se pueda en sql i ,tiene q aparecer algun error de sql xD
|
|
|
|
|
En línea
|
|
|
|
|
Shell Root
|
No necesariamente se necesita que aparezca un error del MySQL para que pueda ser iSQL.
|
|
|
|
|
En línea
|
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
|
|
|
druppy
Desconectado
Mensajes: 4
|
Independiente de la página, pensando en el mejor de los casos de que existiera un error del DBMS, ¿es posible saltarse el error 404 y 406?
Tengo entendido que estos son mecanismos de seguridad, y lo pregunto por si tuviera la oportunidad de implementar estas paginas de error frente a querys inyectadas contra mi propia página, quiero saber si me puedo sentir 90% tranquilo de que estoy seguro con este sistema de páginas de error.
|
|
|
|
|
En línea
|
|
|
|
volteo0101
Desconectado
Mensajes: 27
|
busca otra vulnerabilidad, para q se pueda en sql i ,tiene q aparecer algun error de sql xD
hay administradores que desactivan en el php.ini unas lineas para que el sql en caso de error no los devuelva, en ese caso surgen la blind sql inyect. xD creeria que no vas a poder hacer el mysql inyection,el error 404 sale cuando el servidor no encuentra la pagina que solicitas con la consulta http
|
|
|
|
« Última modificación: 27 Diciembre 2010, 11:33 am por volteo0101 »
|
En línea
|
|
|
|
z00mbi3XDaps00n
Desconectado
Mensajes: 2
|
Hola amigo, espero que aun te sirva que te responda el tema  pero pues creo que la solución es engañar el sistema de filtrado mira he intendado esto y ya no da el error 406: http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+un/**/ion+/*!select*/+1-- Espero te sirva, saludos desde México  |
|
|
|
|
En línea
|
|
|
|
|
Shell Root
|
A eso si mal no recuerdo se le llama IDS's (Sistemas de Detección de Intrusos).
Más información: :http://alguienenlafisi.blogspot.com/2011/07/una-inyeccion-bastante-especial.html {RECOMENDADO}
|
|
|
|
|
En línea
|
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
|
|
|
|
|
MauroMasciar
Desconectado
Mensajes: 567
|
Hola amigo, espero que aun te sirva que te responda el tema pero pues creo que la solución es engañar el sistema de filtrado mira he intendado esto y ya no da el error 406: http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+un/**/ion+/*!select*/+1-- Espero te sirva, saludos desde México No lo creo... « Respuesta #4 en: Diciembre 27, 2010, 06:31:37 »
|
|
|
|
|
En línea
|
Tutto ha oceani da attraversare mentre hanno il coraggio di farlo Avventato? Ma sanno sogni di limiti
Twitter: @MauroMasciar
|
|
|
z00mbi3XDaps00n
Desconectado
Mensajes: 2
|
Si lo mismo supuse. Pero por si alguien se topara con el tema tendria alguna respuesta esperanzadora gracias x el link de la pagina la leere. saluedos |
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Vulnerabilidad Tuenti (SQL Injection)
Nivel Web
|
Constantinoplero
|
1
|
3,498
|
1 Diciembre 2009, 19:52 pm
por xassiz_
|
|
|
|
CONSULTA: Vulnerabilidad VBulletin
Hacking
|
Pabloxxx
|
9
|
6,321
|
15 Julio 2011, 22:41 pm
por Pabloxxx
|
|
|
|
Vulnerabilidad URL SQL Injection
Nivel Web
|
WiseHidden
|
8
|
7,079
|
28 Septiembre 2012, 21:00 pm
por WiseHidden
|
|
|
|
Sql injection, ¿hay vulnerabilidad o no?
Hacking
|
in2c0de
|
4
|
2,775
|
27 Febrero 2016, 03:20 am
por WHK
|
|
|
|
Consulta con bypass y sql injection
Bugs y Exploits
|
Reon
|
1
|
3,473
|
23 Febrero 2016, 12:56 pm
por .:UND3R:.
|
 |
