SQL Injection sobre MS Access

Iniciado por internalKey, 3 Noviembre 2008, 18:28 PM

0 Miembros y 1 Visitante están viendo este tema.

internalKey


El otro dia me encontre una web vulnerable, en principio, a ataques blind sql injection. Pues bien, probando asi rapidamente al poner una comilla en la cadena del id:

Citarhttp://www.xxx.xxx/xxx/xxxxx.asp?id=0';

me sale este error:

CitarMicrosoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][Controlador ODBC Microsoft Access] Error de sintaxis en la cadena en la expresión de consulta 'valido='sí' AND id=0''.

/xxx/xxx/xxxx.asp, línea 45

Me puse a buscar información por la red y mi sorpresa cuando no encuentro practicamente nada (por no decir nada) sobre sql injection en MS Access. Tan solo algunos breves comentarios.

¿alguien sabe de algun paper o algo donde se trate este tema?
¿Cuando aprenderemos? .... ¡La democracia no funciona!. Homer J. Simpson


Azielito

recuerdo que alguna vez pusiste un "cheat-sheet" con muchos y de diferentes gestores de bases de datos, aun tendras el link? >.<

sirdarckcat


Nakp

interesante... pero me queda una duda... sabiendo ahora de nobbc por que no lo ocupas en las url? (como yo :P)
Ojo por ojo, y el mundo acabará ciego.

sirdarckcat


Azielito

de ese hablaba ñ_ñ  gracias, ahora mismo lo imprimo n_n

berz3k

Todo es muy similar en MS SQL ... los cheat-sheet te ayudaran si no conoces mucho....

PD: Yeo los "dos puntos" es mas rapido...

-berz3k.