Mensajes

Abri este post en relacion a una desvirtuacion que estaba creando aca :

http://foro.elhacker.net/nivel_web/asp_vulnerable_a_sqli_por_iis-t284500.0.html

Y entiendo tu punto WHK, revise el link que colocaste pero... el procedimiento es mas dificil de alterar los valores que recibe en relacion a las magic quotes o escape_querys, ya que el procedimiento si valida todos los datos que le llegan y no permite concatenaciones raras ni mucho menos. No digo que sea 100% no vulnerable porque creo que nada es 100% seguro, pero el que ataca la tiene mas chungo intentando bypassear un procedimiento almacenado... imaginate que en vez el id en este caso sea el numero de identificacion personal de alguien... claro puedes despues de mucho intento al azar encontrar una persona que tenga un id personal parecido a otra... pero considerando que las posibilidades son como el numero de la loteria. Las excepciones ya te comente como podria manejarlas para que el gracioso que ataque ni se entere de ver una excepcion retornada por el motor.

Quiero enterarme de la efectividad de vulnerar un procedimiento almacenado, como obligarlo a que llegue la query que alguien le manda? ese es mi dilema. Porque le estoy dando vueltas (no para atacar a nadie) sino para conocer que tan efectivo es y que tanto aplicaria llevarlo a una aplicacion de escritorio.

Ok, mi duda radica con el procedimiento almacenado dentro de la DB sea cual sea la DB.

Tengo esta tabla por ejemplo:

Código (sql) [Seleccionar] Expandir


mysql> select * from ejemplo;
+--------------------+------+
| nombres            | id   |
+--------------------+------+
| Pepess             |    3 |
| Marta Sanchez Mina |    2 |
| Luis Sanchez       |    1 |
| Pedro Pito         |    4 |
| Pepe OR 1=1        |    1 |
+--------------------+------+
5 rows in set (0.00 sec)


Y dentro del motor creo un procedimiento almacenado para sacar datos de esta tabla:

Código (sql) [Seleccionar] Expandir


mysql> create procedure proceso(in nombre char(30), in numero integer)
    -> begin
    -> select * from ejemplo where nombres = nombre and id = numero;
    -> end;
    -> /
Query OK, 0 rows affected (0.00 sec)


Ahora intento pasarle algo al procedimiento para inyectarle codigo:

Código (sql) [Seleccionar] Expandir


mysql> call proceso('Pepess or 1=1',3);
Empty set (0.02 sec)

Query OK, 0 rows affected (0.02 sec)

mysql> call proceso('Pepess'||'or'||1=1,3);
Empty set (0.02 sec)

Query OK, 0 rows affected, 2 warnings (0.02 sec)



Sin embargo si le paso los datos que realmente existen:

Código (sql) [Seleccionar] Expandir


mysql> call proceso('Pepess',3);
+---------+------+
| nombres | id   |
+---------+------+
| Pepess  |    3 |
+---------+------+
1 row in set (0.00 sec)



Alguna sugerencia???

No quisiera movilizar el tema hacia otro angulo.

Yoyahack, siempre he tenido la duda si es posible enviar una inyeccion SQL usando procedimientos almacenados dentro del motor    estaba intentando sacarle esta info a Napk pero no llegue a ninguna conclusion... y incluso se hablo de las magic quotes.. yo desconozco si es efectivo o no las magic quotes, pero me gustaria saber hacia el lado de los procedimientos almacenados dentro del motor... si pudieras conversar conmigo del tema lo apreciaria.

Un saludo 

Hey estan bakan Napk    se ven muy graciosos    nunca te enteraste porque no le hicieron caso a tu set???? yo hubiese preguntado.

No es por nada negativo, pero estos iconos de cocineros, bebes, calabazas, militares, vaqueritos..etc. Siempre son los mismos, solo van rotando pero siempre son los mismos  esto sin contar que son bastante sobrios y como que sosos estos iconos repetitivos.

Ojala puedan considerar implementar iconos interesantes que sean creados por usuarios de este foro    sin desprestigiar el trabajo de Castg ni de Napk.. deberian intentar considerar el esfuerzo de algunos y darle la alegria de usar sus iconos y un cambio radical al foro tambien 

Se es viejo por tener 30????       pes que vieja soy        

Yo pensaba que la vejez comenzaba a los 40 

Janito24 sabes que no soy nada celosa... bueno solo con Winder 

Para ligar a lo mejor           

Me alegro que lo hayas hecho Castg    ojala se considere como positiva tu ofrecimiento.

Ohh Python es muy exhigente con sus tabulaciones    ante cualquier fallito de sintaxis o tabulacion, la aplicacion se cierra automaticamente.

Que depure ejecutando la aplicacion mediante linea de comandos o algun editor que soporte ejecutar por linea de comando, no debe ser tan complicado inclinarse por esto.

De nada    recuerda pasarte mas seguido por el foro ante cualquier duda que te surga. 

Supongo que todos los motores de base de datos relacionales son vulnerables siempre y cuando reciban como peticion una consulta SQL completa. Pero si en el caso de que en ese proyecto hecho con ASP utilizaron 'magic quotes' o similar (digase a lo mejor procedimientos almacenados dentro de SQLite) pues amigo.... la inyeccion SQL la tienes un poco dificil (Por no decir yo imposible y terminar de decepcionarte en tu intento  )