Título: codigo llave para los control admin Publicado por: El Che Guevara en 1 Mayo 2013, 00:53 am tengo la duda de que codigo hay que poner en el casillero 'email y 'passwoed' en un panel de control (administracion) de una web para evitar poner el password y entrar igual....ayer vi un video en youtube que solo con poner 'or'1'='1 o bien or1=1;--a uno entraba como lejitimo dueño... lo probe y no me anduvo, que otros codigos puede haber¿?
(http://static.general-play.com/thumbs/cb/68/gp1b0b0h1f5i0.jpeg) •gracias• Título: Re: codigo llave para los control admin Publicado por: Shell Root en 4 Mayo 2013, 06:54 am Te respondo porque soy fanático a bob esponja,
A eso es lo que me refería con "bypass" del post anterior, pero no todos son vulnerables, todo depende de la sanidad de las variables y el estilo de lógica que este usando la aplicación. Título: Re: codigo llave para los control admin Publicado por: engel lex en 4 Mayo 2013, 09:55 am uff! que suerte que la seguridad haya llegado a nivles que con un 1=1 no desbloqueas todas las cuentas! quien se imaginaria!? XD
Título: Re: codigo llave para los control admin Publicado por: Shell Root en 5 Mayo 2013, 01:45 am ajjajaja no es con un 1=1 es con logica :p
Título: Re: codigo llave para los control admin Publicado por: engel lex en 5 Mayo 2013, 07:14 am insisto... menos mal que ya 1=1 no es clave XD normalmente yo sanitizo mis variables a un punto que paso un
$user = md5($_post[user]) select * from usuarios where $user = md5(usuario) :P quiero ver como pasan sobre eso con un 1=1 XD Título: Re: codigo llave para los control admin Publicado por: Shell Root en 7 Mayo 2013, 20:20 pm Código WTF! No entiendo esa variable $user, desde allí si metes un Código
Quedaría, Código
:p Título: Re: codigo llave para los control admin Publicado por: engel lex en 7 Mayo 2013, 20:25 pm sorry XD no lo meti en etiqueta y no se veia bien
Código
en php creo que ahi se entiende mas mi punto :P el sql compara el valor md5 de lo obtenido, contra lo guardado pasado a md5 Título: Re: codigo llave para los control admin Publicado por: Shell Root en 7 Mayo 2013, 20:33 pm Pues la verdad, sigo sin entender,...
quedaría un valor md5 contra otro md5? Título: Re: codigo llave para los control admin Publicado por: engel lex en 7 Mayo 2013, 20:41 pm sorry... estoy desvariando lo puse mal
era Código: md5(usuario) = $user asumiendo que tu user es "Shell" entonces el $user pasa a valer ea89b68c34ce4a63c0f77e17413c6e30 luego en la db el buscará los valores de la columna usuario que transformados a md5 coincidan con $user, esto te da (a mi parecer) la flexibilidad que el usuario user cualquier caracter sin riesgo a una inyección, ya que los datos pasan digeridos a la db, tambien puedes hacerlo en base64 |