Foro de elhacker.net

Programación => Desarrollo Web => Mensaje iniciado por: Anonimo12346 en 14 Diciembre 2015, 11:58 am


Título: Construir pagina vulnerable a SQL.
Publicado por: Anonimo12346 en 14 Diciembre 2015, 11:58 am
necesito que me ayuden a crear una web vulnerable a SQL para poder practicar y hacer pruebas alguien que me ayude??  

ejemplo: http://www.algo.com/s.php?id=1

Mod: Cambiado titulo.

Título: Re: ayudenmeeeee!
Publicado por: engel lex en 14 Diciembre 2015, 17:53 pm
los títulos deben ser descriptivos, modifica el titulo, no dice más nada... para hacer una pagina vulnerable a SQL solo haste un php que no filtre los get en las query

Título: Re: Construir pagina vulnerable a SQL.
Publicado por: gAb1 en 15 Diciembre 2015, 19:03 pm
Y no usar los prepared statement...

Explica que tipo de pruebas necesitas hacer y podremos ayudarte mejor.

Te aconsejo que mejor leas practicas de programación php actuales, te enseñaran a protegerte de las vulnerabilidades más básicas y los fallos más comunes.

Título: Re: Construir pagina vulnerable a SQL.
Publicado por: Anonimo12346 en 15 Diciembre 2015, 21:06 pm
quiero crear una pagina que sea vulnerable donde se pueda hacer deface

Título: Re: Construir pagina vulnerable a SQL.
Publicado por: flacc en 16 Diciembre 2015, 13:56 pm
Nunca lo he hecho, pero si una vez se me fue por alto un bug de sql injection usando algo como lo siguiente:

Código
  1. <?php
  2. $sql = "select user from users where user_id = $userID";
  3. ?>
  4.  

También podría ser interesante generar instrucciones con js para manipular el funcionamiento.
Saludos

Título: Re: Construir pagina vulnerable a SQL.
Publicado por: _Zume en 19 Diciembre 2015, 14:45 pm
los defacer mas comunes son realizados por vunerabilidades en los $_GET o codigos que permitan cambiar o insertar archivos en un servidor.

por ejemplo, hay una pagina llamada www.redsocial.com y obviamente una pagina asi depende de extraer siempre datos de una DB, si es vulnerable (aunque muchas pueden tener esto y no serlo) al poner www.redsocial.com/index.php?perfil=10 y poner un caracter de mas que no permita ejecutar la consulta: www.redsocial.com/index.php?perfil=10' o algo parecido. Si te salta error de sintaxis es porque es vulnerable. (ejemplo, el codigo que pusieron arriba)

Aunque yo pienso que el deface ya es muy gastado, aburrido y obsoleto.

Título: Re: Construir pagina vulnerable a SQL.
Publicado por: #!drvy en 21 Diciembre 2015, 14:42 pm
Con un SELECT en muy pocas ocasiones podrías hacer un deface a una web directamente. En todo caso obtendrías las credenciales, te meterías en el panel de control y de ahí cambiarías el index de la pagina.

En todo caso deberías leerte un manual básico de PHP+MYSQL. Te enseñara como hacer un sitio web utilizando una base de datos. De ahí, puedes hacer un INSERT vulnerable a injección de código y mediante un poco de html y css hacer el deface.

Lo dicho, si no sabes algo básico de programación, difícil lo veo. Aunque recuerdo que había varias distros orientadas a aprender ataques a Nivel web.. quizás alguna te sirva.

Saludos


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines