elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


  Mostrar Mensajes
Páginas: [1]
1  Seguridad Informática / Nivel Web / SQL Injection en Stored Procedures (MsSQL) en: 13 Octubre 2010, 22:41 pm
Buenas,

Tengo una web que es vulnerable a este tipo de ataques a traves de un formulario de login, los datos se comprueban usando un Stored Procedure, pero no los limpian antes de mandarlo, algo asi:

Código:
EXEC sp_login ' . $user . ' ' . $pass .'

Ahora, yo tengo un usuario valido, pero no tengo forma de conseguir la contraseña. Intente ejecutar consultas despues de cerrar la llamada al sp, mandando como password algo asi:

Código:
'; SELECT * FROM usuarios; --

Pero me devuelve siempre el siguiente error:

Código:
General SQL Server error: Check messages from the SQL Server (severity 14)

Tanto con INSERT como con UPDATE da el mismo error.

Alguna sugerencia?

Se puede llegar a injectar SQL dentro el codigo del SP??

Saludos.
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines