Hola a todos,pregunta que se puede hacer con una sql injection?,perdon por mi ignorancia pero se puede hacer algún cambio en alguna pagina con una sql injection?
(al fin y al cabo si no pregunto no aprendo)
Gracias y que tengan buen dia u noche!
:-[
Buenas Panic0, todas las preguntas que tengas, realizalas que para estamos por aquí.
Respecto a tu consulta, conseguir realizar una SQL Injection en una web, significa que puedes hacer cualquier cosa con los datos de esa plataforma, ya que estas haciendo peticiones directamente a la base de datos.
Comentarte que para realizar SQL Injection no necesitas ningún programa como sqlmap, es verdad que lo facilita, pero tienes conocer como funciona las sentencias sql y buscar posibles vectores de ataque. Por ejemplo, los campos más comunes son los de los formularios, aunque hay muchos más.
Te dejo un link de la web w3school donde lo explica con ejemplo, pero en internet podrás encontrar bastante información sobre ello.
Link: https://www.w3schools.com/sql/sql_injection.asp
Un saludo.
Cita de: zellion en 5 Diciembre 2020, 00:31 AM
Buenas Panic0, todas las preguntas que tengas, realizalas que para estamos por aquí.
Respecto a tu consulta, conseguir realizar una SQL Injection en una web, significa que puedes hacer cualquier cosa con los datos de esa plataforma, ya que estas haciendo peticiones directamente a la base de datos.
Comentarte que para realizar SQL Injection no necesitas ningún programa como sqlmap, es verdad que lo facilita, pero tienes conocer como funciona las sentencias sql y buscar posibles vectores de ataque. Por ejemplo, los campos más comunes son los de los formularios, aunque hay muchos más.
Te dejo un link de la web w3school donde lo explica con ejemplo, pero en internet podrás encontrar bastante información sobre ello.
Link: https://www.w3schools.com/sql/sql_injection.asp
Un saludo.
Ah zellion,muchisimas gracias
INYECCIÓN SQLi - Medio - Avanzadohttps://github.com/Y000o/Sql_injection_medium-advanced.md/blob/main/Sql_injection_medium-advanced.md
INYECCIÓN SQL BÁSICA 💉https://github.com/Y000o/sql_injection_basic
Puedas practicar con la pagina testphp.vulnweb.com que es específicamente diseñada para entender este tipo de vulnerabilidades, en la imagen podemos observar su panel principal.
O bien Damn Vulnerable Web App (DVWA) es una aplicación web desarrollada en PHP y MySQL para poder montarnos nuestro propio laboratorio.
CitarDamn Vulnerable Web App (DVWA) es una aplicación web desarrollada en PHP y MySQL para poder montarnos nuestro propio laboratorio de explotación de vulnerabilidades web, perfecto para poner a pruebas nuestras habilidades en el tema e igualmente para aprender nuevas técnicas.
Ejemplo OWASP Mutillidae
Para ello, vamos a coger un ejemplo de una máquina vulnerable, llamada "OWASP Mutillidae II".
Se accede la web: https://192.168.0.21/mutillidae/ y, usando los menús, se accede a "User Info (SQL)":
Ejemplo bWAPP
Se carga la aplicación web bWAPP y se accede al siguiente enlace: https://192.168.0.21/bWAPP/login.php
Posteriormente se introducen las credenciales: bee/bug y se selecciona el menú SQL Injection (Search/GET)
Herramientas automatizadas para ataques SQL injection https://blog.elhacker.net/2016/04/herramientas-automatizadas-para-ataques-tecnica-sql-injection.html
Tutorial - Manual SQLmap: ataques SQLi - Inyección SQL https://blog.elhacker.net/2014/06/sqlmap-automatizando-ataques-sqli-injection.html
jSQL Injection: herramienta automatizada en Java para realizar ataques inyección SQL https://blog.elhacker.net/2017/04/jsql-injection-herramienta-automatizada-java-ataques-inyeccion-sql.html