Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Hacking => Mensaje iniciado por: extralionel en 31 Agosto 2012, 21:01 PM

Título: Programas para buscar SQLI
Publicado por: extralionel en 31 Agosto 2012, 21:01 PM
Como nadie me dice como encuentro sql injectiont tendré que usar un programa.
¿Cual me recomiendan?
Título: Re: Programas para buscar SQLI
Publicado por: MauroMasciar en 31 Agosto 2012, 21:52 PM
Cursos de SQLi hay cientos, podes buscar en Google, hay algunos que son malos, pero buscando encontras muchas cosas interesantes.

¿Herramientas? Pues las que conozco son:

SQLMap http://sqlmap.org/ (http://sqlmap.org/)
Havij http://www.itsecteam.com/products/havij-v116-advanced-sql-injection/index.html (http://www.itsecteam.com/products/havij-v116-advanced-sql-injection/index.html)

Pero aclaro que esto te LA HACE MUY FÁCIL, y si buscas APRENDER, pues con esas herramientas no lo harás, ya que es muy automatizado, ahora sí buscas un programa que haga todo, ps ahí tenes :xD
Título: Re: Programas para buscar SQLI
Publicado por: kaiserr en 1 Septiembre 2012, 03:54 AM
Aprovecho el tema para preguntar una duda que tengo.

Los progrmas que te buscan SQLI quedan registrados en el log de la web??
Y pueden llegar a provocar un DOS??

Se que los fuzzers si no recuerdo mal, pero estas herramientas no estoy muy seguro.


PD: volviendo al tema, mejor busca algun tutorial y de ahi vas practicando.
Título: Re: Programas para buscar SQLI
Publicado por: Squirtle en 1 Septiembre 2012, 04:57 AM
Todo quieren lo facil, estoy seguro de que no se te paso por la mente buscar bien, porque si no dabas con muchos tutoriales de SQL.

Cita de: kaiserr en  1 Septiembre 2012, 03:54 AM
Los progrmas que te buscan SQLI quedan registrados en el log de la web??
Y pueden llegar a provocar un DOS??

Si como todo claro que deja registros en los log.
Respecto a la otra pregunta si pueden causar un DOS, lo que si es que es una posibilidad remota.  ;)
Título: Re: Programas para buscar SQLI
Publicado por: extralionel en 1 Septiembre 2012, 10:01 AM
Nadie entiende SQLmap y Havij funcionan por php?id= y las sqlique yo busco no son esas. Y a mi nadie me dice como p**a ***** encuentro una SQLi a mano pues toca la jodida manera de ***** de con un programa -.- nadie me dijo que se tenia que poner una ' y salta error de syntaxi ni una SHIT  me dijieron eso que es lo mas fácil y en los jodidos tutoriales van con el php?id= A LA p**a ***** TODO
Título: Re: Programas para buscar SQLI
Publicado por: MauroMasciar en 1 Septiembre 2012, 18:26 PM
Cita de: extralionel en  1 Septiembre 2012, 10:01 AM
Nadie entiende SQLmap y Havij funcionan por php?id= y las sqlique yo busco no son esas. Y a mi nadie me dice como p**a ***** encuentro una SQLi a mano pues toca la jodida manera de ***** de con un programa -.- nadie me dijo que se tenia que poner una ' y salta error de syntaxi ni una SHIT  me dijieron eso que es lo mas fácil y en los jodidos tutoriales van con el php?id= A LA p**a ***** TODO

Apoyando lo que dijo @kaiserr, si buscarías en Google algún tutorial verás que también te muestran como encontrarlas.
Y pues si! es poniendo un valor invalido, ya sea -1 o una ' a la variable, y si salta error es por que es vulnerable, y si no lo salta, es por que esta bien desarrollado, y NO es vulnerable.
Título: Re: Programas para buscar SQLI
Publicado por: Squirtle en 1 Septiembre 2012, 18:38 PM
Cita de: extralionel en  1 Septiembre 2012, 10:01 AM
Nadie entiende SQLmap y Havij funcionan por php?id= y las sqlique yo busco no son esas. Y a mi nadie me dice como p**a ***** encuentro una SQLi a mano pues toca la jodida manera de ***** de con un programa -.- nadie me dijo que se tenia que poner una ' y salta error de syntaxi ni una SHIT  me dijieron eso que es lo mas fácil y en los jodidos tutoriales van con el php?id= A LA p**a ***** TODO

Cuidado como te expresas en el foro ;)

Y si buscas bien encuentras y si no encuentras postea dudas concretas..
Título: Re: Programas para buscar SQLI
Publicado por: int_0x40 en 1 Septiembre 2012, 20:05 PM
extralionel:

Claro que se te contestó ----> http://foro.elhacker.net/hacking_avanzado/como_encuentro_sql_injection-t370103.0.html , otra cosa es que esperes todo servido en la mesa. Además una cosa es buscar aplicaciones de automatización para explotar vulnerabilidades, otra para identificarlas y otra muy distinta que incluyan ambas funcionalidades en la misma.