Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - z3n

#1
Nivel Web / sql Injection en Oracle!!! Ayuda....
3 Septiembre 2009, 03:08 AM
Quisiera saber si alguien me puede ayudar con un problema que tengo en una web asp.net con base datos Oracle....

en el login escribo: '
y en el password: &

y el error que me sale es este:

Revisar
Consulta:
SELECT * FROM sis_usuarios WHERE upper(susu_tlogin) ='''
ERROR (-2147467259)[Oracle][ODBC][Ora]ORA-01756: la cadena entrecomillada no está terminada correctamente
Microsoft OLE DB Provider for ODBC Drivers error '80004005'

[Oracle][ODBC][Ora]ORA-00921: unexpected end of SQL command

/portal/biblioteca/_conexion.asp, línea 357

-------------------------------------------------------------

La direccion que me queda en el browser es la siguiente:

portal/portada/proc_portada.asp?datos[0][login]='&datos[0][clave]=&&TipoUsuario=Alumno

-------------------------------------------------------------

me queda claro que la base de datos es vulnerable, pero cuando intento terminar la consulta, me arroja errores como estos:

SELECT * FROM sis_usuarios WHERE upper(susu_tlogin) ='''
ERROR (-2147467259)[Oracle][ODBC][Ora]ORA-01756: la cadena entrecomillada no está terminada correctamen

SELECT * FROM sis_usuarios WHERE upper(susu_tlogin) =''(SELECT * FROM USUARIOS)''
ERROR (-2147467259)[Oracle][ODBC][Ora]ORA-00936: missing expression
ERROR (-2147467259)[Oracle][ODBC][Ora]ORA-00936: missing expression

y ademas la doble comilla me la incluye sola....

como puedo generar bien la consulta... o obtener informacion de otro manera???

alguien que me ayude porfavor.....