Título: Inyeccion sql de acunetix Publicado por: Gorky en 13 Noviembre 2009, 11:26 am Buenas foreros. He estado probando las vulnerabilidades de una página creada por mi que usa php y mysql. Para ello he usado el ACUNETIX y he visto que es capaz de hacer unas inserciones de registros en la bd. Está claro que si un scanner de vulnerabilidades puede hacerlo, tambien puede hacerlo cualquiera.
Yo lo que quisiera saber es cómo ha conseguido hacerlo ya que la única informacion que da es que es vulnerable a inyecciones sql. Espero que alguien pueda ayudarme. Título: Re: Inyeccion sql de acunetix Publicado por: Azielito en 13 Noviembre 2009, 17:57 pm Mira los logs de acceso de apache para ver como hizo las inyecciones ñ_ñ
Título: Re: Inyeccion sql de acunetix Publicado por: toxeek en 13 Noviembre 2009, 20:34 pm Que tal. Otra cosa que podrias hacer es poner un sniffer a correr com Wireshark durante el test. Selecciona solo el test que te interese en la configuracion, para no acabar con un log de sniffing demasiado amplio. Tras ello lo chequeas y ves como lo hizo. Saludos. Título: Re: Inyeccion sql de acunetix Publicado por: OzX en 13 Noviembre 2009, 23:07 pm Bueno si creaste la aplicacion , sabras algo de sql.
Lee algun tuto de sql injection para mysql, ahi millones en internet. si conoces de sql (conociones como where, and, etc), sabras como "funciona" ese "truqito" milenario. Saludos¡ |