Inyeccion sql de acunetix

Iniciado por Gorky, 13 Noviembre 2009, 11:26 AM

0 Miembros y 1 Visitante están viendo este tema.

Gorky

Buenas foreros. He estado probando las vulnerabilidades de una página creada por mi que usa php y mysql. Para ello he usado el ACUNETIX y he visto que es capaz de hacer unas inserciones de registros en la bd. Está claro que si un scanner de vulnerabilidades puede hacerlo, tambien puede hacerlo cualquiera.
Yo lo que quisiera saber es cómo ha conseguido hacerlo ya que la única informacion que da es que es vulnerable a inyecciones sql.
Espero que alguien pueda ayudarme.

Azielito

Mira los logs de acceso de apache para ver como hizo las inyecciones ñ_ñ

toxeek


Que tal.

Otra cosa que podrias hacer es poner un sniffer a correr com Wireshark durante el test. Selecciona solo el test que te interese en la configuracion, para no acabar con un log de sniffing demasiado amplio.

Tras ello lo chequeas y ves como lo hizo.


Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

OzX

Bueno si creaste la aplicacion , sabras algo de sql.
Lee algun tuto de sql injection para mysql, ahi millones en internet.
si conoces de sql (conociones como where, and, etc), sabras como "funciona" ese "truqito" milenario.
Saludos¡