elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQL Injection para principiantes, ejemplos en aplicaciones reales.
0 Usuarios y 1 Visitante están viendo este tema.
Encuesta
Pregunta: Valora el artículo :)
Excelente - 70 (63.6%)
Bueno - 26 (23.6%)
Pasable - 7 (6.4%)
Malo - 0 (0%)
Pésimo - 7 (6.4%)
Total de votos: 101

Páginas: 1 2 3 [4] 5 Ir Abajo Respuesta Imprimir
Autor Tema: SQL Injection para principiantes, ejemplos en aplicaciones reales.  (Leído 96,174 veces)
Ertai
Colaborador
***
Desconectado Desconectado

Mensajes: 2.025


Ralph Wiggum


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #30 en: 3 Noviembre 2006, 20:05 pm »

En el tutorial dice que pongamos stripslashes() en el codigo, pero que pasa si no existe esa funcion en el codigo? el bug que mensionaron en el phpbb2 ¿El codigo contiene stripslashes() ??

La función sirve para simular un servidor que no tuviera las magic_quotes activadas.

Tal como hacemos la inyección, el servidor con las magic_quotes activadas pondrá una barra invertida ( \ ) delante de la comilla simple ( ' ).

La función stripslashes() hará el efecto contrario, anulando así el efecto de las magic_quotes, al fin y al cabo, esto es una prueba de concepto... Pero ¡ojo! sigue siendo un bug  ;)

Saludos.
En línea

Si la felicidad se comprara, entonces el dinero sería noble.

Código:
void rotar_by_ref(int& a, int& b) {
   /* Quien dijo que no se podia sin una variable temporal? */
   *a = *a ^ *b;
   *b = *a ^ *b;
   *a = *a ^ *b;
}
ramzax200

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #31 en: 7 Noviembre 2006, 10:55 am »

no pos ta cañon que un servidor tenga magic_quotes desactivadas ya que eso viene por default en On no?
En línea

Ertai
Colaborador
***
Desconectado Desconectado

Mensajes: 2.025


Ralph Wiggum


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #32 en: 7 Noviembre 2006, 23:48 pm »

no pos ta cañon que un servidor tenga magic_quotes desactivadas ya que eso viene por default en On no?

No.

A partir de PHP 5 ya si.
En línea

Si la felicidad se comprara, entonces el dinero sería noble.

Código:
void rotar_by_ref(int& a, int& b) {
   /* Quien dijo que no se podia sin una variable temporal? */
   *a = *a ^ *b;
   *b = *a ^ *b;
   *a = *a ^ *b;
}
Casidiablo
Desarrollador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.919



Ver Perfil WWW
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #33 en: 7 Noviembre 2006, 23:59 pm »

A mi no me funciona el UNION. Ni desde el navegador, ni desde la consola de mysql. Que hago???
En línea

Ertai
Colaborador
***
Desconectado Desconectado

Mensajes: 2.025


Ralph Wiggum


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #34 en: 8 Noviembre 2006, 00:31 am »

Te sale algun error?
En línea

Si la felicidad se comprara, entonces el dinero sería noble.

Código:
void rotar_by_ref(int& a, int& b) {
   /* Quien dijo que no se podia sin una variable temporal? */
   *a = *a ^ *b;
   *b = *a ^ *b;
   *a = *a ^ *b;
}
Casidiablo
Desarrollador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.919



Ver Perfil WWW
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #35 en: 8 Noviembre 2006, 00:56 am »

Por ejemlpo:

Código:
ERROR 1064: You have an error in your SQL syntax near 'union select * from carrera' at line 1

Saludos!!!
En línea

Ertai
Colaborador
***
Desconectado Desconectado

Mensajes: 2.025


Ralph Wiggum


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #36 en: 8 Noviembre 2006, 09:49 am »

Y pon tambien lo que le metes a la URL para que de ese error, sino es imposible ayudarte.

El error SQL es el típico genérico.

Si quieres el error más detallado puedes modificar el código para que te imprima la sentencia SQL y meterla en el phpMyAdmin, que da errores más precisos.

Saludos y postea lo que inyectas.
En línea

Si la felicidad se comprara, entonces el dinero sería noble.

Código:
void rotar_by_ref(int& a, int& b) {
   /* Quien dijo que no se podia sin una variable temporal? */
   *a = *a ^ *b;
   *b = *a ^ *b;
   *a = *a ^ *b;
}
cazanova

Desconectado Desconectado

Mensajes: 45


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #37 en: 17 Diciembre 2006, 20:42 pm »

wenas, intente usar hosting gratuito de lycos y cuando entraba al install.php y metia los datos me salia esto

"This script will create the database tables needed by ssLinks v1.22."

ps imagino que eso debe salir, eso kiere decir que ya se creo la database no?

bueno entro al links.php y me sale esto

"An error has caused the script to terminate abruptly. Here is the error message:

Unable to connect to database server."

y no me explico por que sucede, imagino que no puede conectarse a la database delycos o algo asi

los datos del install.php que puse fueron
Database Host : localhost
Database Username : xxxxxx
Database Password : xxxxxx
Database Name : sslink

tambien probe con
Database Host : usuarios.lycos.es
Database Username : xxxxxx
Database Password : xxxxxx
Database Name : sslink

igual probe con el AppServer y al iniciar el links.php me aparecia un error de que no encontraba ciertas cosas o algo asi y bueh..me rendi xD

alguien que me ayude? D:
En línea

jankoitt

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #38 en: 14 Diciembre 2007, 07:05 am »

buena explicacion soy principiante y tengo algunas dudas.. como sabes que tipo de base de datos esta corriendo el host remoto? Otra cosa seria como sabes las tablas a las cuales debes llamar sin haber visto el source de las aplicaciones y las variables por ejemplo.. anduve buscando por ahi y encontre una web que creo y es vulnerable ya que al intentar poner el -1 o letras en la variable ?cod_art= no me devolvio ningun error... aqui el link: http://www.tucelular.com.do/ver_articulo.php?cod_art=501 salu2
En línea

Net_Runner

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: SQL Injection para principiantes, ejemplos en aplicaciones reales.
« Respuesta #39 en: 13 Agosto 2008, 05:04 am »

Hola, se que es un post viejo, disculpen si es inapropiado revivir este post.

Estoy trabajando en este tema, llevo varios días buscando información y recreé el escenario propuesto.

Me asalta la gran duda de por qué un scanner como acunetix (versión 4) no lo reporta como SQL injectión, sino como XSS.

Me gustaría saber si existe la posibilidad de que alguien me diga como sería posible recrear este u otro escenario similar de forma que aparezca como vulnerable a injección SQL en un escanner.

Gracias de antemano!
En línea

Páginas: 1 2 3 [4] 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ejemplos scripts PHP para Banear IP y Rangos de IP's
PHP
el-brujo 0 10,503 Último mensaje 1 Junio 2012, 20:58 pm
por el-brujo
Ataques XSS avanzados a aplicaciones webs: 3 Ejemplos
Nivel Web
MichBukana 2 4,527 Último mensaje 27 Octubre 2013, 20:18 pm
por Shout
Tutoriales ejemplos para trabajar con arrays ?
.NET (C#, VB.NET, ASP)
luis456 2 2,810 Último mensaje 20 Diciembre 2013, 16:18 pm
por luis456
Soluciones científicas reales para no extinguirnos
Foro Libre
Eleкtro 5 3,286 Último mensaje 15 Enero 2020, 00:58 am
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines