Not Acceptable!, problema en ejercicios de injection SQL

Iniciado por Caroxh1, 5 Febrero 2020, 00:13 AM

0 Miembros y 1 Visitante están viendo este tema.

Caroxh1

Hola, estaba haciendo prácticas de  SQL injection, pero a la hora de averiguar si las columnas son vulnerable osea poner cid=0+union+select+1 me aparece esto
An appropriate representation of the requested resource could not be found on this server. This error was generated by Mod_Security, averigüe y es algo debido a apache por el mod security, ¿hay alguna forma de saltarme este proceso de seguridad?

engel lex

#1
depende en que sistema operativo tengas el apache, el proceso para desactivar el mod_security puede variar, en que OS está instalado tu servidor?

tema movido, esto es sobre hacking y no una duda general (se refieren a todo aquello que no encasilla ningun subforo)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

WHK

El mod security lo puedes evadir con saltos de líneas y comentarios (siempre y cuando tenga las reglas por defecto), por ejemplo puedes probar con --%0a%0c

Saludos.

engel lex

Cita de: WHK en  5 Febrero 2020, 03:59 AM
El mod security lo puedes evadir con saltos de líneas y comentarios (siempre y cuando tenga las reglas por defecto), por ejemplo puedes probar con --%0a%0c

Saludos.

creo que para las ultimas versiones de apache no aplica, tampoco instaladores que no sean el puro de los repositorios
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

WHK

Yo lo he probado en instalaciones recientes desde repositorios para centos 7 sobre httpd, itk y mod security. Tengo algunos sitios y en ocasiones pruebo temas como estos. Lo que no funciona para la versión nueva de apache son las inyecciones de cabeceras con saltos de línea, pero en este caso es diferente, el salto de línea se encuentra codificado en urlencode por lo cual apache lo procesa sin ningún problema, el tema está en las reglas por defecto de mod security, hay un sin fin de maneras de evadir las reglas, me ha tocado hacer payloads para xss con mod security para empresas donde trabajo y no es muy dificil evadirlos.

De todas maneras creo que no es bueno divagar sobre si es posible o no hasta no tener certeza de las reglas aplicadas en el servidor. Caroxh1, tienes la dirección URL para hacer algunas pruebas? podrías enviarla por interno para compartirlo con engel ex y jugar un poco.

Saludos.