Injección SQL ~ www.es.fondsk.ru

en: Noviembre 30, 2012, 04:19:55 pm

Web: You are not allowed to view links. Register or Login

Injección SQL: You are not allowed to view links. Register or Login'

Estado: No Reportado.

en: Noviembre 30, 2012, 04:23:30 pm

no la entiendo mucho
es SQL pero no tiene que salir un mensaje de que error
y que lea el manual de SQL
o algo haci
saludos
es que nio se mucho de desfacing

en: Noviembre 30, 2012, 07:39:39 pm

No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

en: Noviembre 30, 2012, 09:41:37 pm

You are not allowed to view links. Register or Login

No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

en: Noviembre 30, 2012, 10:20:47 pm

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar

en: Noviembre 30, 2012, 10:26:57 pm

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar

si pero repito, en ningun lado dice que es un error de consulta sql, solo dice que hay errores en la forma de tratar objetos, no parece ser injectable, igual solo me guio por la imagen, no probé en la web.

saludos!

en: Diciembre 01, 2012, 04:27:38 am

No he probado aún pero no parecen ser errores en la consulta, simplemente en la imagen parecen ser noticias.
Nose si se realizaría bien la injección ya que no veo ningún error sql.
Saludos.

en: Diciembre 01, 2012, 06:49:25 pm

Hola [email protected]
Solamente para que lo sepáis, he chequeado la web y he realizado algunas pruebas de sql injection, (blind, time-based y boolean-based) y he visto que el parámetro es inyectable, podéis comprobarlo fácilmente utilizando sqlmap, ademas hay otros puntos de acceso en la web que tienen vulnerabilidades similares.
Dado que no es de mi interés, no he realizado ningún ataque, pero una vulnerabilidad así, puede llevar a comprometer el servidor, estaría bien que Zekro la reportará ya que ha sido él quien la ha descubierto.

Saludos.

en: Diciembre 01, 2012, 10:18:19 pm

You are not allowed to view links. Register or Login

Hola [email protected]
Solamente para que lo sepáis, he chequeado la web y he realizado algunas pruebas de sql injection, (blind, time-based y boolean-based) y he visto que el parámetro es inyectable, podéis comprobarlo fácilmente utilizando sqlmap, ademas hay otros puntos de acceso en la web que tienen vulnerabilidades similares.
Dado que no es de mi interés, no he realizado ningún ataque, pero una vulnerabilidad así, puede llevar a comprometer el servidor, estaría bien que Zekro la reportará ya que ha sido él quien la ha descubierto.

Saludos.

gracias por la aclaración.

saludos!

	Injección SQL ~ CalderonaBike Iniciado por Zekro	Respuestas: 2 Vistas: 2317	Noviembre 29, 2012, 06:49:58 pm por baron.power
	Injección SQL ~ www.mtbclubdecampo.com Iniciado por Zekro	Respuestas: 0 Vistas: 2006	Noviembre 30, 2012, 11:20:43 am por Zekro

Underc0de - Hacking y seguridad informática

Injección SQL ~ www.es.fondsk.ru

Zekro

Injección SQL ~ www.es.fondsk.ru

elshotta

Re:Injección SQL ~ www.es.fondsk.ru

Zekro

Re:Injección SQL ~ www.es.fondsk.ru

Tulkalex

Re:Injección SQL ~ www.es.fondsk.ru

q3rv0

Re:Injección SQL ~ www.es.fondsk.ru

Tulkalex

Re:Injección SQL ~ www.es.fondsk.ru

Okol

Re:Injección SQL ~ www.es.fondsk.ru

Adastra

Re:Injección SQL ~ www.es.fondsk.ru

Tulkalex

Re:Injección SQL ~ www.es.fondsk.ru

Similar topics (2)