en primer lugar tengan buenas tardes la duda es la siguiente:
tengo el siguiente codigo de un login en asp.net: Imports System.Data
Imports System.Data.SqlClient
Partial Class Login : Inherits System.Web.UI.Page
Dim Link As New Sql
Dim Sql As SqlCommand
Dim Ler As SqlDataReader
Dim i As Boolean
Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Load
Me.TextBox1.Focus()
End Sub
Protected Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles Button1.Click
Dim tipo As String = ""
Dim Nom As String = ""
Dim ie As String = ""
Sql = New SqlCommand("select * from usuario", Link.Con)
Dim ide As New HH84.HH84
' se ocupa el algorito MD5 para cifrar el password
' y asi esta guardado en la base de datos algo parecido a esto: e99008846853ff3b725c27315e469fbc
dim pass = ide.GenerarHash(Me.TextBox2.Text)
Try
Link.Con.Open()
Catch ex As Exception
Me.Label3.Text = "Error: " & ex.Message
Me.Label3.Visible = True
End Try
Try
Ler = Sql.ExecuteReader
While Ler.Read
'texbox1 es el usuario
'texbox2 es la contraseña
If Ler(1).Equals(Me.TextBox1.Text) And Ler(2).Equals(pass) Then
Nom = Ler(3)
ie = Ler(0)
tipo = Ler(7)
i = True
Else
Me.Label1.Visible = True
Me.Label1.Text = "Su Usuario o password es Invalida"
End If
End While
Catch ex As Exception
Me.Label3.Text = "Error: " & ex.Message
Me.Label3.Visible = True
End Try
Try
Link.Con.Close()
Catch ex As Exception
Me.Label3.Text = "Error: " & ex.Message
Me.Label3.Visible = True
End Try
If i = True Then
Session("ie") = ie
If tipo = "Administrador" Then
Session("tipo") = "Administrador"
Session("Login") = True
Session("Nom") = Nom
Session("estado") = "OnLine"
Response.Redirect("Principal.aspx")
ElseIf tipo = "Gestor" Then
Session("tipo") = "Gestor"
Session("Login") = True
Session("Nom") = Nom
Session("estado") = "OnLine"
Response.Redirect("Gestor.aspx")
ElseIf tipo = "Comite" Then
Session("tipo") = "Comite"
Session("Nom") = Nom
Session("estado") = "OnLine"
Session("Login") = True
Response.Redirect("Comite.aspx")
ElseIf tipo = "Entrevistador" Then
Session("tipo") = "Entrevistador"
Session("Nom") = Nom
Session("estado") = "OnLine"
Session("Login") = True
Response.Redirect("Entrevistas.aspx")
Else
Me.Label1.Visible = True
Me.Label1.Text = "Su Usuario o password es Invalida"
End If
End If
End Sub
End Class
y estos son los campos de la tabla usuario:
id_usuario
usuario
contraseña
nombre
apellido
telefono
correo
tipo
estado
ahora sabiendo como esta estructurado el codigo del login y como esta estructurada la tabla usuario.
¿ se puede atacar este login con Injeccion SQL?
¿ Cual seria la sentencia para realizar el ataque?
¿ si no es posible realizar Injeccion SQL a este codigo que otro metodo podria utlizar?esperando su ayuda muchas gracias.