Título: [ayuda]Problema con inyeccion Sql Publicado por: mschako en 17 Octubre 2008, 22:38 pm Saludos a todos..necesito ayuda en esta inyeccion..sin tanto rollo comeinso:
al realizar la consulta: usuario: loquesea'-- password: loquesea me muesra la inyeccion vulnerable, asi: (http://img513.imageshack.us/img513/5079/88126105vl0.jpg) (http://img513.imageshack.us/img513/8904/15456136sg0.jpg) Ahora al intentar logearme con la inyeccion usuario: loquesea' and password=''-- password: loquesea pues este es el mensaje de error al que llego: (http://img513.imageshack.us/img513/7084/99768214vr3.jpg) (http://img513.imageshack.us/img513/2685/16320850sp1.jpg) Aparentemente filtra los espacios dejados. alguna ayuda por favor.. Título: Re: [ayuda]Problema con inyeccion Sql Publicado por: Azielito en 17 Octubre 2008, 23:19 pm y en el campo de la contraseña no puedes hacer inyeccion?
Código
o alguna otra inyeccion x) Título: Re: [ayuda]Problema con inyeccion Sql Publicado por: perverthso en 18 Octubre 2008, 01:54 am Bueno segun veo no podras hacer un bypass de la autentificacion ya q esta usando store procedure y ese tipo de estructuras no son vulnerables a los tipos de ataques como ' or ''=', ' or 1=1--,...etc asi q mejor ve q te manda los resultados de las excepciones q tu mandas asi q puedes tratar de sacar informacion por ahi ahora como bueno investiga ;D saludos
Título: Re: [ayuda]Problema con inyeccion Sql Publicado por: sirdarckcat en 2 Noviembre 2008, 21:04 pm esto es mas simple..
usuario: '=' password: '=' sin necesidad de "or" ;) Saludos!! |