[ayuda]Problema con inyeccion Sql

Iniciado por mschako, 17 Octubre 2008, 22:38 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

mschako

17 Octubre 2008, 22:38 PM
Saludos a todos..necesito ayuda en esta inyeccion..sin tanto rollo comeinso:

al realizar la consulta:

usuario: loquesea'--
password: loquesea

me muesra la inyeccion vulnerable, asi:




Ahora al intentar logearme con la inyeccion

usuario: loquesea' and password=''--
password: loquesea

pues este es el mensaje de error al que llego:




Aparentemente filtra los espacios dejados.

alguna ayuda por favor..

Azielito

#1
17 Octubre 2008, 23:19 PM
y en el campo de la contraseña no puedes hacer inyeccion?

Código (sql) [Seleccionar]
usuario:admin
psw: ' or 'x'='x

o alguna otra inyeccion x)

perverthso

#2
18 Octubre 2008, 01:54 AM
Bueno segun veo no podras hacer un bypass de la autentificacion ya q esta usando store procedure y ese tipo de estructuras no son vulnerables a los tipos de ataques como ' or ''=', ' or 1=1--,...etc asi q mejor ve q te manda los resultados de las excepciones q tu mandas asi q puedes tratar de sacar informacion por ahi ahora como bueno investiga  ;D saludos

sirdarckcat

#3
2 Noviembre 2008, 21:04 PM
esto es mas simple..

usuario: '='
password: '='

sin necesidad de "or" ;)

Saludos!!
Imprimir
Ir Arriba Páginas1
Acciones del Usuario