[ayuda]Problema con inyeccion Sql

Iniciado por mschako, 17 Octubre 2008, 22:38 PM

0 Miembros y 1 Visitante están viendo este tema.

mschako

Saludos a todos..necesito ayuda en esta inyeccion..sin tanto rollo comeinso:

al realizar la consulta:

usuario: loquesea'--
password: loquesea

me muesra la inyeccion vulnerable, asi:




Ahora al intentar logearme con la inyeccion

usuario: loquesea' and password=''--
password: loquesea

pues este es el mensaje de error al que llego:




Aparentemente filtra los espacios dejados.

alguna ayuda por favor..

Azielito

y en el campo de la contraseña no puedes hacer inyeccion?

Código (sql) [Seleccionar]
usuario:admin
psw: ' or 'x'='x


o alguna otra inyeccion x)


perverthso

Bueno segun veo no podras hacer un bypass de la autentificacion ya q esta usando store procedure y ese tipo de estructuras no son vulnerables a los tipos de ataques como ' or ''=', ' or 1=1--,...etc asi q mejor ve q te manda los resultados de las excepciones q tu mandas asi q puedes tratar de sacar informacion por ahi ahora como bueno investiga  ;D saludos

sirdarckcat

esto es mas simple..

usuario: '='
password: '='

sin necesidad de "or" ;)

Saludos!!