Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - acid0ikario

#1
no se ustedes pero no tienen curiosidad por saber como se mantiene elhacker.net tengo años de no entrar a este foro y se siente como congelado en el tiempo, peor como ha hecho para sobrevivir todos estos años?

Cuanto pagaran por mantener el alojamiento?

Hay alguna comunidad activda aqui adentro?

si existiera esta comunidad, sus miembros serian de la vieja escuela cuando los foros estaban relamente de moda?

A que se dedican ahora, ya son parte de alguna multinacional haciendo tareas aburridas?

Creen que algun existan comunidades underground moviendose en este tipo de formato o se pasaron a utilizar las redes sociales como medios principales de comunicacion publica.
#3
.NET (C#, VB.NET, ASP) / ASP.net + Injeccion SQL
19 Febrero 2011, 23:03 PM
en primer lugar tengan buenas tardes la duda es la siguiente:

tengo el siguiente codigo de un login en asp.net:

Código (vbnet) [Seleccionar]
Imports System.Data
Imports System.Data.SqlClient
Partial Class Login : Inherits System.Web.UI.Page
    Dim Link As New Sql
    Dim Sql As SqlCommand
    Dim Ler As SqlDataReader
    Dim i As Boolean
    Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Load
        Me.TextBox1.Focus()
    End Sub
    Protected Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles Button1.Click
        Dim tipo As String = ""
        Dim Nom As String = ""
        Dim ie As String = ""
        Sql = New SqlCommand("select * from usuario", Link.Con)
        Dim ide As New HH84.HH84
        ' se ocupa el algorito MD5 para cifrar el password
        ' y asi esta guardado en la base de datos algo parecido a esto: e99008846853ff3b725c27315e469fbc

        dim pass = ide.GenerarHash(Me.TextBox2.Text)

        Try
            Link.Con.Open()
        Catch ex As Exception
            Me.Label3.Text = "Error: " & ex.Message
            Me.Label3.Visible = True
        End Try
        Try
            Ler = Sql.ExecuteReader
            While Ler.Read
'texbox1 es el usuario
'texbox2 es la contraseña
                If Ler(1).Equals(Me.TextBox1.Text) And Ler(2).Equals(pass) Then
                    Nom = Ler(3)
                    ie = Ler(0)
                    tipo = Ler(7)
                    i = True
                Else
                    Me.Label1.Visible = True
                    Me.Label1.Text = "Su Usuario o password es Invalida"
                End If
            End While
        Catch ex As Exception
            Me.Label3.Text = "Error: " & ex.Message
            Me.Label3.Visible = True
        End Try

        Try
            Link.Con.Close()
        Catch ex As Exception
            Me.Label3.Text = "Error: " & ex.Message
            Me.Label3.Visible = True
        End Try

        If i = True Then
            Session("ie") = ie
            If tipo = "Administrador" Then
                Session("tipo") = "Administrador"
                Session("Login") = True
                Session("Nom") = Nom
                Session("estado") = "OnLine"
                Response.Redirect("Principal.aspx")
            ElseIf tipo = "Gestor" Then
                Session("tipo") = "Gestor"
                Session("Login") = True
                Session("Nom") = Nom
                Session("estado") = "OnLine"
                Response.Redirect("Gestor.aspx")
            ElseIf tipo = "Comite" Then
                Session("tipo") = "Comite"
                Session("Nom") = Nom
                Session("estado") = "OnLine"
                Session("Login") = True
                Response.Redirect("Comite.aspx")
            ElseIf tipo = "Entrevistador" Then
                Session("tipo") = "Entrevistador"
                Session("Nom") = Nom
                Session("estado") = "OnLine"
                Session("Login") = True
                Response.Redirect("Entrevistas.aspx")
            Else
                Me.Label1.Visible = True
                Me.Label1.Text = "Su Usuario o password es Invalida"
            End If
        End If
    End Sub
End Class


y estos son los campos de la tabla usuario:

id_usuario
usuario
contraseña
nombre
apellido
telefono
correo
tipo
estado

ahora sabiendo como esta estructurado el codigo del login y como esta estructurada la tabla usuario.

¿ se puede atacar este login con Injeccion SQL?

¿ Cual seria la sentencia para realizar el ataque?

¿ si no es posible realizar Injeccion SQL a este codigo que otro metodo podria utlizar?


esperando su ayuda muchas gracias.