Inyección SQL

Constantinoplero · 2 Diciembre 2009, 18:17 PM

Buenas,

Creo que es bien conocida por todos la vulnerabilidad que tenía Tuenti, hasta este agosto, por la cual, a través de una inyección SQL, se podían obtener datos privados de los usuarios.
Pues me puse a pensar, ¿y si hubiese más redes sociales con el mismo fallo?

Entonces me dirigí a Fotolog, e intenté buscar el fallo en el mismo sitio:

www.fotolog.com/nombreusuario/ff <-- Que viene a ser los amigos de un perfil

Y a eso le añadí '+and+1=1'. Me dirigió a la página de perfil.
Después: '+and+1=0'. Se me volvió a cargar la misma página del perfil.

1º - ¿Está mal añadido lo nuevo que puse?
2º - En caso de que esté bien, ¿porque siempre me dirige al perfil, ponga lo que ponga? ¿Le da igual todo a Fotolog

?

Saludos!

Castg! · 2 Diciembre 2009, 19:46 PM

Proba esto:

www.fotolog.com/nombreusuario/ffhjfkdghusibvyuguygyudfhgkcvxrs

al estar erronea la pagina o direccion te dirije a el perfil. siempre pasas asi, en la mayoria de los usuarios que usan sql

Test Foro de elhacker.net SMF 2.1

Inyección SQL

Constantinoplero

Castg!