Injeccion SQL

Distorsion · 21 Agosto 2007, 13:55 PM

Saludos a todos. He detectado una web vulnerable(en principio, segun el scanner) con una posible injeccion SQL. Sabria que hacer si fuera un XSS o RFI pero SQL...
Haber e estado buscando por google listas de comandos, pero esos comandos yo veo el resultado?¿ Por ejemplo usando el comando list se carga la pagina normalmente. Hay algun comando SQL para comprobar que la pagina sea realmente susceptible a este tipo de Vulnerabilidad?¿
Gracias.

R41N-W4R3 · 21 Agosto 2007, 14:06 PM

Primero debes entender bien como funciona esa técnica y para que se usa, para eso puedes encontrar en el foro bastantes post muy buenos. En principio puedo decirte que se usa tanto para validarse en la web como para extraer datos de la base de datos,modif o borrar tablas,etc. Para hacerlo lo que se suele hacer es aprovechar los campos de validacion de user y pass que se comprueban en una consulta SQL contra la base de datos de la web. Lo mas usual es crear sentencias que sean siempre ciertas en la consulta para asi poder obtener lo que se desea.

Como te digo, mira bien en el foro que hay manuales muy buenos al respecto.

Saludos y suerte

Distorsion · 21 Agosto 2007, 14:08 PM

Gracias por responder tan pronto. Busco, busco.

arabik · 22 Agosto 2007, 00:52 AM

Citar
. Hay algun comando SQL para comprobar que la pagina sea realmente susceptible a este tipo de Vulnerabilidad?¿
Gracias.

simplemente introduce una comilla ( ' ) si te sale un error normalmente es vulnerable

sirdarckcat · 24 Agosto 2007, 02:02 AM

http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/

Test Foro de elhacker.net SMF 2.1

Injeccion SQL

Distorsion

R41N-W4R3

Distorsion

arabik

sirdarckcat