elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Un empujon en las inyecciones sql (Mysql)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Un empujon en las inyecciones sql (Mysql)  (Leído 3,757 veces)
Littl3

Desconectado Desconectado

Mensajes: 239


Tarde o temprano aparece el hombre


Ver Perfil
Un empujon en las inyecciones sql (Mysql)
« en: 5 Marzo 2009, 01:38 am »

Hola buenas es la primera vez que me meto en el tema de las inyecciones sql, lo digo para que no me prepareis el crematorio... he leido los tutos que hay pero sigo sin aclararme mucho la verdad...

Mi pregunta es: 2 inputs uno para introducir tu email y el otro un numero de cuenta (no es bancario...) el input para el email cuando introduces una ' produce un error de sintaxis, ¿esto ya quiere decir que es vulnerable? y si es así, ¿cual es el siguiente paso?

PD:La pagina en si lo que hace es crear una cuenta, no es para acceder.

Saludos
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Un empujon en las inyecciones sql (Mysql)
« Respuesta #1 en: 5 Marzo 2009, 06:41 am »

Hola, veo que necesitas aprender primero lo que es MySQL, como se programa, etc. Es dificil poder entender una inyección SQL si no sabes de SQL, te recomiendo que de pasada puedas aprender algo de php así que deberías buscar por ahi esos tutos donde enseñan sobre php+mysql y en base a eso vas leyendo de a poco sobre inyecciones.

http://foro.elhacker.net/nivel_web/gran_tutorial_sobre_inyecciones_sql_en_mysql-t237420.0.html

Talves ese tema te pueda aclarar muchas cosas.

Citar
cuando introduces una ' produce un error de sintaxis, ¿esto ya quiere decir que es vulnerable?
No siempre pero si la mayoria de las veces.

Citar
y si es así, ¿cual es el siguiente paso?
Depende de lo que quieras lograr o a que vas, cuales son tus intenciones ya que en base a eso es lo que necesitarás hacer y para hacer necesitas primeramente lo que te dije antes.

Si te quedan mas dudas puedes ver algunos textos acá:
https://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_23209-t244090.0.html
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
http://www.google.cl/search?hl=es&q=programacion+php%2Bmysql&btnG=Buscar&meta=

Si con todo esto sigues con dudas buelves y preguntas lo que desees.
En línea

Littl3

Desconectado Desconectado

Mensajes: 239


Tarde o temprano aparece el hombre


Ver Perfil
Re: Un empujon en las inyecciones sql (Mysql)
« Respuesta #2 en: 5 Marzo 2009, 14:34 pm »

Muchas gracias whk por tu tiempo y los enlaces, ahora mismo me pondre con ellos, hace un tiempo me puse a estudiar php + mysql en una web muy buena y que aprovecho para recomendar a todo aquel que quiera iniciarse en el tema, la web es www.phpya.com.ar, mi inteción era crear un script para subastas y cuando lo conseguí deje el tema de lado... xD, lo que quiero lograr es modificar datos de la BD o realizar algunas consultas utiles...

He buscado informacion sobre inyecciones sql en el foro pero en la mayoria de tutos que encontrado se realizan las inyecciones a través de variables en la url, mi pregunta siguiente es: ¿es lo mismo realizar las inyecciones desde una variable en la url que desde una caja de texto vulnerable? uno de los errores con los que me encontrado probando inyecciones en la caja del email es este:

An error has ocurred:
Language string failed to load: recipients_failedjuanito@gmail.com"UPDATE XXX SET XXX ="25" WHERE XXXX ="juanito"

PD: cualquier dato que me ayude a tirar del ilo me sera de gran ayuda, gracias.


¡¡¡He conseguido saber el numero de columnas y el nombre de la BD!!! ahora ¿si quiero modificar algun dato de una tabla que debo hacer? tambien se el nombre de la tabla y el campo a modificar
« Última modificación: 5 Marzo 2009, 15:30 pm por Littl3 » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Un empujón con un trial please
Ingeniería Inversa
yako-_- 5 4,735 Último mensaje 18 Septiembre 2010, 01:45 am
por yako-_-
Ayuda con 2 inyecciones SQL
Hacking
er_davids 3 4,226 Último mensaje 30 Mayo 2011, 22:43 pm
por 4rkn63l
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines