|
Título: SQL Injection sobre MS Access Publicado por: internalKey en 3 Noviembre 2008, 18:28 pm El otro dia me encontre una web vulnerable, en principio, a ataques blind sql injection. Pues bien, probando asi rapidamente al poner una comilla en la cadena del id: Citar http://www.xxx.xxx/xxx/xxxxx.asp?id=0' me sale este error: Citar Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][Controlador ODBC Microsoft Access] Error de sintaxis en la cadena en la expresión de consulta 'valido='sí' AND id=0''. /xxx/xxx/xxxx.asp, línea 45 Me puse a buscar información por la red y mi sorpresa cuando no encuentro practicamente nada (por no decir nada) sobre sql injection en MS Access. Tan solo algunos breves comentarios. ¿alguien sabe de algun paper o algo donde se trate este tema? Título: Re: SQL Injection sobre MS Access Publicado por: sirdarckcat en 12 Noviembre 2008, 04:54 am :http://www.ush.it/team/ascii/ms-access-sql-injection-cheat-sheet-EN.html
Título: Re: SQL Injection sobre MS Access Publicado por: Azielito en 12 Noviembre 2008, 16:08 pm recuerdo que alguna vez pusiste un "cheat-sheet" con muchos y de diferentes gestores de bases de datos, aun tendras el link? >.<
Título: Re: SQL Injection sobre MS Access Publicado por: sirdarckcat en 13 Noviembre 2008, 03:50 am :http://pentestmonkey.net/blog/mysql-sql-injection-cheat-sheet/
Título: Re: SQL Injection sobre MS Access Publicado por: Nakp en 13 Noviembre 2008, 03:57 am interesante... pero me queda una duda... sabiendo ahora de nobbc por que no lo ocupas en las url? (como yo :P)
Título: Re: SQL Injection sobre MS Access Publicado por: sirdarckcat en 13 Noviembre 2008, 04:11 am es mas rapido poner :
Título: Re: SQL Injection sobre MS Access Publicado por: Azielito en 13 Noviembre 2008, 16:03 pm de ese hablaba ñ_ñ gracias, ahora mismo lo imprimo n_n
Título: Re: SQL Injection sobre MS Access Publicado por: berz3k en 14 Noviembre 2008, 06:49 am Todo es muy similar en MS SQL ... los cheat-sheet te ayudaran si no conoces mucho....
PD: Yeo los "dos puntos" es mas rapido... -berz3k. |