Autor
|
Tema: SQL Injection (Leído 4,577 veces)
|
Adept
Desconectado
Mensajes: 25
|
Si tengo un sitio vulnerable a sql injection donde el error de validación se produce dentro de una sentencia SELECT, ¿sólo puedo utilizar un comando que empiece por UNION SELECT? ¿No podría por ejemplo poner otro tipo de comandos como editar o eliminar bases de datos?. Si es así, cómo lo podría hacer?
O sea mi pregunta es si dentro de una sentencia SELECT puedo incluir algún otro tipo de comando que no tenga relación con éste y que sea ejecutado.
He intentado separar las sentencias con punto y coma ; pero sólo he obtenido errores...
Gracias de antemano...
PS: El sitio ES vulnerable
|
|
« Última modificación: 5 Diciembre 2004, 21:33 pm por Adept »
|
En línea
|
Those were the words of Adept...
|
|
|
Cobac
Ex-Staff
Desconectado
Mensajes: 5.465
Still In Development
|
para editar sería update, para eliminar delete y si quieres añadir alguna nueva sería insert
osea que tendrías que hacer union delete..... (sin el select)
salu2
|
|
|
En línea
|
PIV 2533 @ 2720Mhz | 512MB DRR333 @ 358 | 160 Gb + 40 Gb Seagate Barracuda
En la Edad Media la Iglesia robaba con los diezmos. En el siglo XXI la SGAE roba con sus cánones.
|
|
|
Rentero
Ex-Staff
Desconectado
Mensajes: 1.164
La paciencia es la madre de la ciencia.
|
Como te han dicho...usa UNION ALGO(donde ALGO puede ser DELETE, CREATE, UPDATE, INSERT, etc).
Tienes que hacer que el primer SELECT(el de validación de usuario) sea falso para que ejecute el UNION ALGO. Puedes ponerle algo como AND 1=2.
Saludos.
|
|
|
En línea
|
Firmado.
|
|
|
Adept
Desconectado
Mensajes: 25
|
No funciona, da un error de sintaxis. Al parecer el comando UNION sólo se puede usar seguido por un SELECT.
¿Habrá otra forma de hacerlo?
|
|
« Última modificación: 6 Diciembre 2004, 06:41 am por Adept »
|
En línea
|
Those were the words of Adept...
|
|
|
PaK0
Desconectado
Mensajes: 164
|
Citar: ¿No podría por ejemplo poner otro tipo de comandos como editar o eliminar bases de datos?.
Antes de hacerlo piensa que a lo mejor el tío se pasó semanas currándose la base de datos, ok? Ponte en la piel del otro y no hagas lo que no te gustaría que te hicieran
Salu2
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
sql injection nobb
Hacking
|
ADOMEX1232
|
0
|
2,206
|
30 Mayo 2015, 08:42 am
por ADOMEX1232
|
|
|
sql injection se puede?
Hacking
|
fvpg
|
1
|
2,134
|
25 Mayo 2018, 05:57 am
por engel lex
|
|
|
Url injection
Análisis y Diseño de Malware
|
Jeezy
|
6
|
5,290
|
5 Junio 2018, 05:29 am
por Jeezy
|
|
|
Dll Injection
Análisis y Diseño de Malware
|
Jeezy
|
3
|
2,689
|
6 Agosto 2018, 19:46 pm
por ThunderCls
|
|
|
Sql injection y que más?
Hacking
|
4lienx
|
4
|
3,981
|
26 Noviembre 2019, 22:12 pm
por BloodSharp
|
|