| |
 Mostrar Temas
|
|
Páginas: [1]
|
|
1
|
Seguridad Informática / Hacking / Inyeccion sql, el servidor me impide el acceso tras muchas peticiones seguidas
|
en: 27 Diciembre 2013, 18:42 pm
|
|
Hola, me he topado con un blanco en el que el servidor me impide el acceso a la web tras muchas peticiones seguidas. Utilizo havij. Empieza a funcionar genial pero nada mas empezar siempre por el mismo punto se para. Intento entrar a la web desde el navegador y es como si me hubiera baneado la ip. Entro desde otra ip y la web carga al instante. Hasta que no pasa media hora o así no puedo volver a probar y si lo intento vuelve a ocurrir lo mismo, más o menos en el mismo punto.
Por ello pienso que detecta un acceso muy rápido desde una ip y la banea x minutos.
He probado ralentizando mi conexión a 0.5 segundos entre petición y petición con una tool que encontré, me da de ping 500 así que funciona pero ni por esas consigo hacer la inyección. Os habéis encontrado con un caso similar? cómo solucionarlo?
Saludos.
|
|
|
|
|
2
|
Seguridad Informática / Hacking / sqlmap inyección con --data del tipo multipart/form-data
|
en: 3 Noviembre 2013, 16:23 pm
|
|
Me he topado con un post que es "raro". Nunca había visto algo así.
Es de este tipo:
------WebKitFormBoundaryHXlrnfLfUVl2KUZC
Content-Disposition: form-data; name="email"
asdas
------WebKitFormBoundaryHXlrnfLfUVl2KUZC
Content-Disposition: form-data; name="submit"
Enviar
------WebKitFormBoundaryHXlrnfLfUVl2KUZC--
en vez de ser como los típicos username=asdas&password=efefef
Da error sql si meto una comilla por lo que sé al 100% que es inyectable pero sqlmap no logra inyectar.
En el --data meto todo eso, supongo que no se debe hacer así. Cómo lo hago entonces?
|
|
|
|
|
3
|
Seguridad Informática / Hacking / Hacer una inyección sql pero estando autentificado?
|
en: 1 Noviembre 2013, 21:04 pm
|
|
Hola, habitualmente utilizo havij para hacerlas o sqlmap en backtrack y me va bien.
El problema es que en algunas webs hasta que no te has autentificado no puedes probar con alguna url porque te redirecciona a la pantalla de login. Da error 302.
Mi pregunta es si al inyectar esa url da igual que estés o no autentificado.
|
|
|
|
|
4
|
Seguridad Informática / Hacking / Necesto realizar blind sql a una web a través de inputs de un formulario html
|
en: 15 Enero 2013, 00:20 am
|
|
Mi web objetivo sé que es vulnerable. He hecho inyecciones a través de formularios html y gracias a ello conozco una de sus tablas y el nombre de las variables que alberga. Pero es ir a ciegas probando. El sql no muestra las consultas en pantalla por lo que es imposible averiguar gran cosa. Hay alguna otra manera de descifrar todas las tablas más sencilla?
Me suena que esto es blind sql pero no sé si acierto.
Esta fue mi primera inyección importante tras estudiar en mi fp php y sql y la verdad es que uno se siente motivado jaja.
Un saludo!
|
|
|
|
|
|
| |
|
