|
Título: duda sobre inyeccion sql Publicado por: draeq en 23 Julio 2011, 13:11 pm bueno, se me da bien la inyeccion (basica) a webs que estan con php nuke, o nuket, eso es una cosa facil la cosa, que queria preguntar ( y espero que algun n00b que sepa) me ayude con la pregunta.
he visto tutoriales y demas sobre inyecciones a webs, pero mi pregunta realmente, es se puede hacer una inyeccion a las webs que usen plataformas wordpress? y como¿ algun tutotrial o video que se pueda ver?. gracias de antemano. Título: Re: duda sobre inyeccion sql Publicado por: int_0x40 en 23 Julio 2011, 17:24 pm La inyección se hace cuando se pasa código SQL como input desde el browser a una aplicación web vulnerable, la cual convierte dinámicamente y sin hacer el debido filtrado de caracteres a ese input en sentencias que se envían directamente a un servidor SQL o a través de otro nivel intermedio. Si la inyección es exitosa, el servidor SQL con el cual se comunica la aplicación web podrá ejecutar lo que el atacante le indique, con los privilegios con los que se esté ejecutando.
Propiamente la inyección no se hace a la página web, sino al servidor SQL a través de una webapp. Claro que también se puede usar SQLi para hacer deface de una página web y muchas cosas más, pero no es lo mismo. Cualquier aplicación web que se comunique con un servidor SQL en backend, que use parámetros de input para construir sentencias SQL que se enviarán en las consultas a ese servidor y que no haga un filtrado adecuado, puede ser vulnerable a SQLi. Saludos. |