elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQL Injection en Stored Procedures (MsSQL)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SQL Injection en Stored Procedures (MsSQL)  (Leído 4,040 veces)
Serese

Desconectado Desconectado

Mensajes: 1


Ver Perfil
SQL Injection en Stored Procedures (MsSQL)
« en: 13 Octubre 2010, 22:41 pm »

Buenas,

Tengo una web que es vulnerable a este tipo de ataques a traves de un formulario de login, los datos se comprueban usando un Stored Procedure, pero no los limpian antes de mandarlo, algo asi:

Código:
EXEC sp_login ' . $user . ' ' . $pass .'

Ahora, yo tengo un usuario valido, pero no tengo forma de conseguir la contraseña. Intente ejecutar consultas despues de cerrar la llamada al sp, mandando como password algo asi:

Código:
'; SELECT * FROM usuarios; --

Pero me devuelve siempre el siguiente error:

Código:
General SQL Server error: Check messages from the SQL Server (severity 14)

Tanto con INSERT como con UPDATE da el mismo error.

Alguna sugerencia?

Se puede llegar a injectar SQL dentro el codigo del SP??

Saludos.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Stored Procedures en MySQL
Bases de Datos
Devilboy.Devil 4 33,123 Último mensaje 29 Mayo 2011, 16:12 pm
por [D4N93R]
PROCEDURES DE ORACLE
Bases de Datos
inquilin@19 0 2,261 Último mensaje 14 Enero 2012, 17:48 pm
por inquilin@19
[Ayuda] Stored procedure Postgresql
Bases de Datos
estebanvr 0 2,667 Último mensaje 15 Mayo 2012, 18:32 pm
por estebanvr
PhpMyAdmin & Stored Procedures
Bases de Datos
Zinc 5 5,016 Último mensaje 26 Octubre 2012, 16:53 pm
por Shell Root
[JAVA]Enviar parmetros tipo fecha de IN o Out Stored Procedures en Java
Java
elrepay 0 3,119 Último mensaje 17 Abril 2014, 04:32 am
por elrepay
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines