elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Inyección SQL por método POST? COMO?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Inyección SQL por método POST? COMO?  (Leído 6,664 veces)
zenok

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Inyección SQL por método POST? COMO?
« en: 19 Marzo 2012, 18:11 pm »

Hola, intento iniciarme en este mundillo. Realmente no para molestar a otros sitios Web que no me han hecho nada.

Hay un sitio que tiene vulnerabilidad por metodo post en un input. Pero no sé como explotarlo.

He buscado tutoriales pero siempre encuentro por get y no por post. He intentado con poner en el input ', SELECT username FROM users WHERE username = usuario para probar. Pero no me funciona, da error mysql envez de mostrarme el dato
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Inyección SQL por método POST? COMO?
« Respuesta #1 en: 20 Marzo 2012, 01:09 am »

Es exactamente lo mismo man, no hay diferencia. Aunque son mas abundante por GET, porque por GET se suelen pasar parámetros para usarlo para comprobación y para recibir datos como ID de perfil, el ID de paginacion, el nombre del titulo de la pagina y ese tipos de datos se suelen pasar por GET y suelen hacerle un select...

Su pongo que te preguntaras porque la suelen pasar por GET y no por POST, ps el principal motivo debe ser porque es mucho mas simple crear enlaces, a enviar un formulario o hacer peticion POST directamente. Aunque los datos que viajan via POST se suelen usar para agregar información directamente a la DB, ya que no puedes mandar todos los datos que quieras via GET, este tiene un limite y varia dependiendo del navegador. Aunque por POST puedes mandar todos los datos que quieras y se limita a la configuración del servidor...

Saludos.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Inyección SQL por método POST? COMO?
« Respuesta #2 en: 26 Marzo 2012, 16:24 pm »

Haz un formulario html en tu escritorio, le haces doble click para abrirlo con tu explorador y lo envías.

Por ejemplo:

Código
  1. <form method="post" action="http://...">
  2.   <input type="text" name="test" />
  3.   <input type="submit" />
  4. </form>

Donde dice "test" se lo cambias por el input vulnerrable.
Recuerda que la mayoría de los sistemas webs te verifican que mandes todos los inputs requeridos, por eso te recomiendo usar firefox con live headers, le das un vistazo a las variables que se han enviado (se ven igual que las peticiones get después de archivo.php?) y le creas los inputs necesarios y listo, con eso ya puedes enviar inyecciones sql en método POST de forma personalizada.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
como enviar un texto por método post a php « 1 2 »
Programación Visual Basic
A2Corp 10 5,963 Último mensaje 6 Septiembre 2005, 01:55 am
por yeikos
Replicar método POST
Scripting
NeonMan 1 2,955 Último mensaje 15 Febrero 2008, 16:29 pm
por Stacker
parametros x e y en metodo POST
Desarrollo Web
lord mick 8 6,030 Último mensaje 19 Agosto 2010, 22:54 pm
por w4r10
devolver valores por metodo post como?
PHP
Zeroql 9 7,149 Último mensaje 18 Junio 2011, 04:54 am
por raul338
[Duda] Como enviar informacion al servidor sin el metodo POST ni GET
Desarrollo Web
Flamer 2 2,524 Último mensaje 16 Marzo 2016, 08:42 am
por adastra
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines