Título: Inyección SQL Publicado por: Constantinoplero en 2 Diciembre 2009, 18:17 pm Buenas,
Creo que es bien conocida por todos la vulnerabilidad que tenía Tuenti, hasta este agosto, por la cual, a través de una inyección SQL, se podían obtener datos privados de los usuarios. Pues me puse a pensar, ¿y si hubiese más redes sociales con el mismo fallo? Entonces me dirigí a Fotolog, e intenté buscar el fallo en el mismo sitio: www.fotolog.com/nombreusuario/ff <-- Que viene a ser los amigos de un perfil Y a eso le añadí '+and+1=1'. Me dirigió a la página de perfil. Después: '+and+1=0'. Se me volvió a cargar la misma página del perfil. 1º - ¿Está mal añadido lo nuevo que puse? 2º - En caso de que esté bien, ¿porque siempre me dirige al perfil, ponga lo que ponga? ¿Le da igual todo a Fotolog :laugh:? Saludos! Título: Re: Inyección SQL Publicado por: Castg! en 2 Diciembre 2009, 19:46 pm Proba esto:
www.fotolog.com/nombreusuario/ffhjfkdghusibvyuguygyudfhgkcvxrs al estar erronea la pagina o direccion te dirije a el perfil. siempre pasas asi, en la mayoria de los usuarios que usan sql |