elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


  Mostrar Mensajes
Páginas: [1]
1  Seguridad Informática / Nivel Web / w3af - Web Application Attack and Audit Framework en: 23 Septiembre 2008, 00:28 am

Hola, les presento el "metasploit for web applications". W3af es baicamente un proyecto open source para el testeo de vulnerabilidades en websites. Esta formado por plugins dividios en (attack, audit, exploit, discovery, evasion, bruteforce, mangle y alguno mas). El código se encuentra comentado y escrito en python. Su autor es  Andres Riancho.

Les dejo toda la información que e obtenido y a ver si entre todos le sacamos partido a esta magnifica herramienta.

Código:
svn co https://w3af.svn.sourceforge.net/svnroot/w3af/trunk w3af

    Saludos

    [-] r0tkit3r [-]
    2  Seguridad Informática / Nivel Web / Re: Web vulnerable a inyeccion SQL en: 22 Septiembre 2008, 15:33 pm
    Hola sirdarckat, gracias por el link es lo que necesitaba..y yo to obcecado en consultas MySql asi que no daba nada... ;D

    Expondre los resultados

    Saludos
    3  Seguridad Informática / Nivel Web / Web vulnerable a inyeccion SQL en: 22 Septiembre 2008, 13:44 pm
    Hola, practicando un poco el Sql Injection me e topado con un website en el que segun SQLiX es vulnerable a una inyeccion sql:

    Código:
                                    -- SQLiX --
     Copyright 2006 Cedric COCHIN, All Rights Reserved.
    ======================================================

    Analysing URL [http://www.vulnerable.es/home.asp?sesion=1]

    RESULTS:
    The variable [sesion] from [http://www.vulnerable.es/home.asp?sesion=1] is vulnerable to SQL Injection [Error message (user) - MSAccess].

    con eso se que la base de datos es Microsoft Access y que la variable vulnerable es sesion. Ahora e intentado realizar consultas de tal forma que mediante los errores obtenga las tablas, usuarios, etc...
    El caso es que llevo realizando varias consultas (having 1=1--).... y no consigo sacar nada.

    Código:
    Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

    [Microsoft][Controlador ODBC Microsoft Access] Error de sintaxis (falta operador) en la expresión de consulta 'taid_codigo='.

    /conf/dll.asp, línea 283

    Mi pregunta es si es necesario realizar otro tipo de consultas diferentes a las de MySql, al ser MSacces....

    ¿Alguien me podria ayudar a realizar las consultas adecuadas?

    Gracias
    Páginas: [1]
    WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines