|
Título: sqli en dvwa Publicado por: ruben_linux en 26 Diciembre 2011, 01:40 am dvwa = http://www.dvwa.co.uk/
una aplicación vulnerable, con todo tipo de fallas para que juguemos vntfwkFfgD0 aquí muestro como hacer sqli con sqlmap usando la opción cookie Título: Re: sqli en dvwa Publicado por: wirelesswifi en 26 Diciembre 2011, 03:03 am Me gusto el video ruben_linux.
Una duda que tengo, el SQLi que haces por cookies es por id? Estaria vulnerable la variable id? Saludos. :D Título: Re: sqli en dvwa Publicado por: ruben_linux en 26 Diciembre 2011, 17:14 pm Citar La aplicación recibe un identificador numérico y devuelve qué usuario dispone de ese identificador. Por ejemplo, si introducimos un '1' como "user id" la aplicación nos devolverá 'admin'. La aplicación realiza la siguiente consulta SQL sobre la base de datos, "SELECT first_name, last_name FROM users WHERE user_id = '$id'", recibiendo como parámetro el user_id. En el caso de no realizar un buen tratamiento del identificador un atacante podrá realizar una inyección SQL. fuente:http://www.pentester.es/2010/03/sqlmap-inyeccion-sql-automatica.html (http://www.pentester.es/2010/03/sqlmap-inyeccion-sql-automatica.html) Título: Re: sqli en dvwa Publicado por: dantemc en 30 Diciembre 2011, 18:25 pm lo has intentado con los otros niveles de dificultad? tienes videito de esas? eso estaría genial.
|