ayuda con injection sql

Iniciado por antoniocaro, 11 Julio 2011, 07:24 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

antoniocaro

11 Julio 2011, 07:24 AM
hola que tal soy nuevo en el foro, tengo tiempo leyendo sobre sql  y tengo un problema raro hay una aplicacion que encontre vulnerable, les explico

tiene una variable llamada p=x donde x es un numero y este numero corresponde a un usuario, si le ingreso este codigo hi' or 'a'='a me arroja todos los usuarios que existen por eso creo que es una injeccion pero al agregarle algun otro dato ia no puedo hacer nada alguien me puede ayudar, con que me digan que tipo de injecion es

muchas gracias

m0rf

#1
11 Julio 2011, 12:23 PM
Te arroja todos los usuarios ????

Me lo pudes mandar por mp la url d la web para comprobar que es verdad?

Gracias.
Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?

antoniocaro

#2
11 Julio 2011, 13:35 PM
perdon pero no puedo es una web de un amigo y contiene datos delicados, pero si me arroja todos los usuarios , si puedes ayudarme solo darme ideas de lo que podria hacer  te lo agradeceria mucho muchas gracias

m0rf

#3
13 Julio 2011, 01:42 AM
Exactamente que quieres hacer?

Te recomiendo intentar saber que base de datos utiliza ya que supuestamente es vulnerable y te arroja todos los usuarios, esto quiere decir que no valida bien el string ( o otra cosa pero con los datos que me das es lo que se me ocurre...) .

Puedes enviarle comandos que acepte, dependiendo de la base de datos que tenga instalada tendras que enviar unas peticiones o otras. Si te cuesta encontrar algun manual sobre esto solo tienes que decirlo y te pongo aquí unos cuantos que tengo bastante buenos.

Saludos.
Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?
Imprimir
Ir Arriba Páginas1
Acciones del Usuario