Foro de elhacker.net

Hola, estaba haciendo prácticas de  SQL injection, pero a la hora de averiguar si las columnas son vulnerable osea poner cid=0+union+select+1 me aparece esto
An appropriate representation of the requested resource could not be found on this server. This error was generated by Mod_Security, averigüe y es algo debido a apache por el mod security, ¿hay alguna forma de saltarme este proceso de seguridad?

depende en que sistema operativo tengas el apache, el proceso para desactivar el mod_security puede variar, en que OS está instalado tu servidor?

tema movido, esto es sobre hacking y no una duda general (se refieren a todo aquello que no encasilla ningun subforo)

El mod security lo puedes evadir con saltos de líneas y comentarios (siempre y cuando tenga las reglas por defecto), por ejemplo puedes probar con --%0a%0c

Saludos.

creo que para las ultimas versiones de apache no aplica, tampoco instaladores que no sean el puro de los repositorios

Yo lo he probado en instalaciones recientes desde repositorios para centos 7 sobre httpd, itk y mod security. Tengo algunos sitios y en ocasiones pruebo temas como estos. Lo que no funciona para la versión nueva de apache son las inyecciones de cabeceras con saltos de línea, pero en este caso es diferente, el salto de línea se encuentra codificado en urlencode por lo cual apache lo procesa sin ningún problema, el tema está en las reglas por defecto de mod security, hay un sin fin de maneras de evadir las reglas, me ha tocado hacer payloads para xss con mod security para empresas donde trabajo y no es muy dificil evadirlos.

De todas maneras creo que no es bueno divagar sobre si es posible o no hasta no tener certeza de las reglas aplicadas en el servidor. Caroxh1, tienes la dirección URL para hacer algunas pruebas? podrías enviarla por interno para compartirlo con engel ex y jugar un poco.

Saludos.