elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQL Injection. Pido consejo		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SQL Injection. Pido consejo  (Leído 4,134 veces)
wwidow

Desconectado Desconectado

Mensajes: 2


Ver Perfil
SQL Injection. Pido consejo
« en: 20 Noviembre 2006, 16:25 pm »
Hola amigos.
Estoy haciendo un test para inyeccion sql en un site y me devuelve los siguientes errores. La verdad es que no se como

interpretarlos. Es decir, no se como hace la validación. Os muestro la entradas que pongo en el campo del usuario y las

respuestas obtenidas

El campo que se manda a la pagina de validación es 'Codigo usuario'

En campo Codigo usuario introduzco: '
Respuesta:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near 'Codigo'.
/login.asp, line 55
En campo Codigo usuario introduzco:  --'
Respuesta:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near 'Codigo'.
/login.asp, line 55


En campo Codigo usuario introduzco: 'or''='1
Respuesta:
   Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

   [Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword 'or'.

/login.asp, line 55
En la siguiente petición meto la comilla simple entre dos dobles. El mensaje devuelto es más complejo

En campo Codigo usuario introduzco: "'"or''='1
Respuesta:
   Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

   [Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near 'or''='1','','','',0,'Codigo Usuario='.

/login.asp, line 55
   
En campo Codigo usuario introduzco: textoprueba"'"or''='1 Aquí es donde más desconcierta. textoprueba lo pone al final de la sentencia ... mientras que 'or''='1 lo pone al principio
Respuesta:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near 'or''='1','','','',0,'Codigo Usuario=textoprueba'.
/login.asp, line 55

Sabría alguien orientarme al respecto. (¿Se está haciendo algo para protegerse de sql injections,..., la consulta de validación es demasiado compleja, ....etc.)

Otra consultilla relacionada ... Sólo con que un web site te devuelve los errores de SQL Server ... es factible la inyección

SQL.?

Muchas gracias
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Pido consejo. Conseguir info de un enlace/pag.bweb
Hacking 		Gallu 3 2,185 Último mensaje 19 Marzo 2011, 13:05 pm
por TheInfinityJoker
Ampliación Ordenata, Pido consejo!! « 1 2 »
Hardware 		MaeseCatenaccio 15 6,033 Último mensaje 31 Agosto 2011, 21:32 pm
por Artikbot
Pido consejo, empresa no me paga ni me contesta
Foro Libre 		free-articles 6 2,325 Último mensaje 22 Junio 2012, 10:56 am
por overxfl0w13
Pido consejo sobre un PC Viejo
Software 		xplode1165 3 1,276 Último mensaje 24 Enero 2014, 15:28 pm
por xplode1165
Estoy perdido y no sabría que hacer ni que estudiar/Pido consejo « 1 2 »
Foro Libre 		Rottermayer 12 3,777 Último mensaje 17 Octubre 2014, 19:41 pm
por dimitrix
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines