Injeccion SQL

Iniciado por Distorsion, 21 Agosto 2007, 13:55 PM

0 Miembros y 1 Visitante están viendo este tema.

Distorsion

Saludos a todos. He detectado una web vulnerable(en principio, segun el scanner) con una posible injeccion SQL. Sabria que hacer si fuera un XSS o RFI pero SQL...
Haber e estado buscando por google listas de comandos, pero esos comandos yo veo el resultado?¿ Por ejemplo usando el comando list se carga la pagina normalmente. Hay algun comando SQL para comprobar que la pagina sea realmente susceptible a este tipo de Vulnerabilidad?¿
Gracias.

R41N-W4R3



  Primero debes entender bien como funciona esa técnica y para que se usa, para eso puedes encontrar en el foro bastantes post muy buenos. En principio puedo decirte que se usa tanto para validarse en la web como para extraer datos de la base de datos,modif o borrar tablas,etc. Para hacerlo lo que se suele hacer es aprovechar los campos de validacion de user y pass que se comprueban en una consulta SQL contra la base de datos de la web. Lo mas usual es crear sentencias que sean siempre ciertas en la consulta para asi poder obtener lo que se desea.

  Como te digo, mira bien en el foro que hay manuales muy buenos al respecto.

  Saludos y suerte

Distorsion

Gracias por responder tan pronto. Busco, busco.

arabik

Citar
. Hay algun comando SQL para comprobar que la pagina sea realmente susceptible a este tipo de Vulnerabilidad?¿
Gracias.

simplemente introduce una comilla ( ' )  si te sale un error normalmente es vulnerable

sirdarckcat