|
Título: Injeccion SQL Publicado por: Distorsion en 21 Agosto 2007, 13:55 pm Saludos a todos. He detectado una web vulnerable(en principio, segun el scanner) con una posible injeccion SQL. Sabria que hacer si fuera un XSS o RFI pero SQL...
Haber e estado buscando por google listas de comandos, pero esos comandos yo veo el resultado?¿ Por ejemplo usando el comando list se carga la pagina normalmente. Hay algun comando SQL para comprobar que la pagina sea realmente susceptible a este tipo de Vulnerabilidad?¿ Gracias. Título: Re: Injeccion SQL Publicado por: R41N-W4R3 en 21 Agosto 2007, 14:06 pm Primero debes entender bien como funciona esa técnica y para que se usa, para eso puedes encontrar en el foro bastantes post muy buenos. En principio puedo decirte que se usa tanto para validarse en la web como para extraer datos de la base de datos,modif o borrar tablas,etc. Para hacerlo lo que se suele hacer es aprovechar los campos de validacion de user y pass que se comprueban en una consulta SQL contra la base de datos de la web. Lo mas usual es crear sentencias que sean siempre ciertas en la consulta para asi poder obtener lo que se desea. Como te digo, mira bien en el foro que hay manuales muy buenos al respecto. Saludos y suerte Título: Re: Injeccion SQL Publicado por: Distorsion en 21 Agosto 2007, 14:08 pm Gracias por responder tan pronto. Busco, busco.
Título: Re: Injeccion SQL Publicado por: arabik en 22 Agosto 2007, 00:52 am Citar . Hay algun comando SQL para comprobar que la pagina sea realmente susceptible a este tipo de Vulnerabilidad?¿ Gracias. simplemente introduce una comilla ( ' ) si te sale un error normalmente es vulnerable Título: Re: Injeccion SQL Publicado por: sirdarckcat en 24 Agosto 2007, 02:02 am http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/
|