|
Título: Consulta sobre vulnerabilidad para SQL Injection Publicado por: druppy en 15 Diciembre 2010, 21:28 pm (http://img338.imageshack.us/img338/5017/notaceptable.jpg)
He estado buscando la posibilidad de hacer una inyección SQL sobre sitios con cierto grado de seguridad, específicamente los que ponen error 406 + error 404. Entiendo que el programa detecta un intento de manipulación por inserción de querys. Busqué pero sólo encontre un blog con un bypass que no funcionó: Código: -1 /*!union*/ select 1,2,3,4,5,6,7.... -- El sitio es: Código: http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+union+select+1-- Pero independiente de eso, mi pregunta es la siguiente; ¿Existe alguna manera o procedimiento para saltar esta barrera de seguridad, o simplemente no es posible realizar la inyección SQL y debiera buscar otro tipo de vulnerabilidad? Muchas gracias de antemano. Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: Edu en 15 Diciembre 2010, 23:54 pm busca otra vulnerabilidad, para q se pueda en sql i ,tiene q aparecer algun error de sql xD
Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: Shell Root en 16 Diciembre 2010, 02:45 am No necesariamente se necesita que aparezca un error del MySQL para que pueda ser iSQL.
Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: druppy en 16 Diciembre 2010, 02:58 am Independiente de la página, pensando en el mejor de los casos de que existiera un error del DBMS, ¿es posible saltarse el error 404 y 406?
Tengo entendido que estos son mecanismos de seguridad, y lo pregunto por si tuviera la oportunidad de implementar estas paginas de error frente a querys inyectadas contra mi propia página, quiero saber si me puedo sentir 90% tranquilo de que estoy seguro con este sistema de páginas de error. Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: volteo0101 en 27 Diciembre 2010, 11:31 am busca otra vulnerabilidad, para q se pueda en sql i ,tiene q aparecer algun error de sql xD hay administradores que desactivan en el php.ini unas lineas para que el sql en caso de error no los devuelva, en ese caso surgen la blind sql inyect. xD creeria que no vas a poder hacer el mysql inyection,el error 404 sale cuando el servidor no encuentra la pagina que solicitas con la consulta http Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: z00mbi3XDaps00n en 10 Agosto 2011, 21:32 pm Hola amigo, espero que aun te sirva que te responda el tema :) pero pues creo que la solución es engañar el sistema de filtrado mira he intendado esto y ya no da el error 406:
Código: http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+un/**/ion+/*!select*/+1-- Espero te sirva, saludos desde México :) :P Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: Shell Root en 10 Agosto 2011, 22:14 pm A eso si mal no recuerdo se le llama IDS's (Sistemas de Detección de Intrusos).
Más información: :http://alguienenlafisi.blogspot.com/2011/07/una-inyeccion-bastante-especial.html {RECOMENDADO} Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: madpitbull_99 en 10 Agosto 2011, 22:36 pm Introducción a los Web Application Firewalls (WAF). (http://foro.elhacker.net/empty-t331834.0.html)
Va de lo mismo, firewalls para aplicaciones web, seguramente por eso te salga ese error. PD: Acabo de ver la fecha del post. ¿Porque respondéis a estos temas? Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: MauroMasciar en 10 Agosto 2011, 22:43 pm Hola amigo, espero que aun te sirva que te responda el tema :) pero pues creo que la solución es engañar el sistema de filtrado mira he intendado esto y ya no da el error 406: Código: http://www.adictosaltrabajo.com/detalle-noticia.php?noticia=-1+un/**/ion+/*!select*/+1-- Espero te sirva, saludos desde México :) :P No lo creo... Citar « Respuesta #4 en: Diciembre 27, 2010, 06:31:37 » Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: z00mbi3XDaps00n en 11 Agosto 2011, 00:51 am Si lo mismo supuse. Pero por si alguien se topara con el tema tendria alguna respuesta esperanzadora :) gracias x el link de la pagina la leere. saluedos :)
Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: MauroMasciar en 11 Agosto 2011, 00:55 am Si lo mismo supuse. Pero por si alguien se topara con el tema tendria alguna respuesta esperanzadora :) gracias x el link de la pagina la leere. saluedos :) Supongo que si, MUCHISIMAS veces son la que busco en Google y encuentro post que por ahi no responden mis dudas por que por ahi ni se la respondieron al que pregunto hace dos años atras... Saludos ^^ Título: Re: Consulta sobre vulnerabilidad para SQL Injection Publicado por: csaralg en 4 Abril 2013, 00:31 am http://www.adictosaltrabajo.com/book_section.inc.php?book=(2)and(0)union select 1,2,3,4,5 %23
|