sqli en dvwa

ruben_linux · 26 Diciembre 2011, 01:40 AM

dvwa = http://www.dvwa.co.uk/

una aplicación vulnerable, con todo tipo de fallas para que juguemos

[youtube=425,350]http://www.youtube.com/watch?v=vntfwkFfgD0[/youtube]

aquí muestro como hacer sqli con sqlmap usando la opción cookie

wirelesswifi · 26 Diciembre 2011, 03:03 AM

Me gusto el video ruben_linux.

Una duda que tengo, el SQLi que haces por cookies es por id?

Estaria vulnerable la variable id?

Saludos.

ruben_linux · 26 Diciembre 2011, 17:14 PM

CitarLa aplicación recibe un identificador numérico y devuelve qué usuario dispone de ese identificador. Por ejemplo, si introducimos un '1' como "user id" la aplicación nos devolverá 'admin'. La aplicación realiza la siguiente consulta SQL sobre la base de datos, "SELECT first_name, last_name FROM users WHERE user_id = '$id'", recibiendo como parámetro el user_id. En el caso de no realizar un buen tratamiento del identificador un atacante podrá realizar una inyección SQL.

fuente:http://www.pentester.es/2010/03/sqlmap-inyeccion-sql-automatica.html

dantemc · 30 Diciembre 2011, 18:25 PM

lo has intentado con los otros niveles de dificultad? tienes videito de esas? eso estaría genial.

Test Foro de elhacker.net SMF 2.1

sqli en dvwa

ruben_linux

wirelesswifi

ruben_linux

dantemc