Injección SQL ~ www.es.fondsk.ru

Iniciado por Zekro, Noviembre 30, 2012, 04:19:55 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 30, 2012, 04:19:55 PM


Web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Injección SQL: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta'

Estado: No Reportado.
No he fracasado,he encontrado 10.000 soluciones que no funcionan.
Noviembre 30, 2012, 04:23:30 PM #1
no la entiendo mucho
es SQL pero no tiene que salir un mensaje de que error
y que lea el manual de SQL
o algo haci
saludos
es que nio se mucho de desfacing   :)
Noviembre 30, 2012, 07:39:39 PM #2
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.
No he fracasado,he encontrado 10.000 soluciones que no funcionan.
Noviembre 30, 2012, 09:41:37 PM #3
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!
Noviembre 30, 2012, 10:20:47 PM #4
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar
Web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Twitter: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Noviembre 30, 2012, 10:26:57 PM #5
Cita de: [Q3rV[0] link=topic=12758.msg45154#msg45154 date=1354324847]
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar

si pero repito, en ningun lado dice que es un error de consulta sql, solo dice que hay errores en la forma de tratar objetos, no parece ser injectable, igual solo me guio por la imagen, no probé en la web.

saludos!
Diciembre 01, 2012, 04:27:38 AM #6
No he probado aún pero no parecen ser errores en la consulta, simplemente en la imagen parecen ser noticias.
Nose si se realizaría bien la injección ya que no veo ningún error sql.
Saludos.
Underc0de Manager!
Diciembre 01, 2012, 06:49:25 PM #7
Hola chic@s
Solamente para que lo sepáis, he chequeado la web y he realizado algunas pruebas de sql injection, (blind, time-based y boolean-based) y he visto que el parámetro es inyectable, podéis comprobarlo fácilmente utilizando sqlmap, ademas hay otros puntos de acceso en la web que tienen vulnerabilidades similares.
Dado que no es de mi interés, no he realizado ningún ataque, pero una vulnerabilidad así, puede llevar a comprometer el servidor, estaría bien que Zekro la reportará ya que ha sido él quien la ha descubierto.

Saludos.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Nunca discutas con un idiota, podria no notarse la diferencia"
Kant.
Diciembre 01, 2012, 10:18:19 PM #8
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola chic@s
Solamente para que lo sepáis, he chequeado la web y he realizado algunas pruebas de sql injection, (blind, time-based y boolean-based) y he visto que el parámetro es inyectable, podéis comprobarlo fácilmente utilizando sqlmap, ademas hay otros puntos de acceso en la web que tienen vulnerabilidades similares.
Dado que no es de mi interés, no he realizado ningún ataque, pero una vulnerabilidad así, puede llevar a comprometer el servidor, estaría bien que Zekro la reportará ya que ha sido él quien la ha descubierto.

Saludos.

gracias por la aclaración.

saludos!
Imprimir
Ir Arriba Páginas1
Acciones del Usuario