saludos, comunidad el motivo del posteo es para solicitarles ayuda frente a un caso que me toco experimentar
paso a comentarles previamente ,
************************************************ Mi perfil***********************************
trabajo en el area de seguridad de e-commerce ,, estudie ing de sistemas , me considero una persona autodidacta y me gusta mucho investigar sobre temas de mi interes.
********************************************** CASO*********************************************************
la sgte url: http://www.fidepuntos.com.bo/
fallo : sqlinjection
EL MOTIVO , como veran, si acceden se trata de demostrar canjear algun tipo de premio haciendo uso de la INSEGURIDAD que presenta esta web, documentarla y pues subirla y reportala
la web te permite CANJEAR algun premio de acuerdo a la cantida de puntaje acumulados, el canje se realiza (personal, y via online) , y el metdo de seguridad para ello es pesimo tan solo te piden el numero de celular acceden a ver tus puntajes y proceden a canjearte
el problema que presento es que no puedo ver algunso datos de una tabla usuarios ,
pues si alguien decea ingresar debera usar mi numero
si alguien puede darle una mirada mas profunda x favor responder para poder continuar o mail
jaime981
Como ya te dije por el IRC tira de SQLmap, que por lo que dijiste ya has probado.
Te logueas desde el navegador y usas la cookie con SQLmap, aquí hay un tutorial:
PD: no hagas defacement :P
Saludos.
jajajajja xDDD gracias eso hare revisare el tuto , no es mi intencion hacer defaced. gracias x la respusta ahora reviso
luego escribo para dar noticias sobre como me fue. gracias.