elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Inyección SQL		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Inyección SQL  (Leído 2,705 veces)
Constantinoplero


Desconectado Desconectado

Mensajes: 346


Veni, vidi, vici


Ver Perfil WWW
Inyección SQL
« en: 2 Diciembre 2009, 18:17 pm »
Buenas,

Creo que es bien conocida por todos la vulnerabilidad que tenía Tuenti, hasta este agosto, por la cual, a través de una inyección SQL, se podían obtener datos privados de los usuarios.
Pues me puse a pensar, ¿y si hubiese más redes sociales con el mismo fallo?

Entonces me dirigí a Fotolog, e intenté buscar el fallo en el mismo sitio:

www.fotolog.com/nombreusuario/ff  <-- Que viene a ser los amigos de un perfil

Y a eso le añadí '+and+1=1'. Me dirigió a la página de perfil.
Después: '+and+1=0'. Se me volvió a cargar la misma página del perfil.


1º - ¿Está mal añadido lo nuevo que puse?
2º - En caso de que esté bien, ¿porque siempre me dirige al perfil, ponga lo que ponga? ¿Le da igual todo a Fotolog  :laugh:?

Saludos!
En línea
Más que buenos principios prefiero mejores finales.
Castg!
Wiki

Desconectado Desconectado

Mensajes: 1.191



Ver Perfil WWW
Re: Inyección SQL
« Respuesta #1 en: 2 Diciembre 2009, 19:46 pm »
Proba esto:


www.fotolog.com/nombreusuario/ffhjfkdghusibvyuguygyudfhgkcvxrs


al estar erronea la pagina o direccion te dirije a el perfil. siempre pasas asi, en la mayoria de los usuarios que usan sql
En línea


Creiste que mi firma había muerto? NO! Volvió, y en forma de fichas!

link al último código de la firma
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines