Ingeniero
Páginas: 6 (1460 palabras)
Publicado: 19 de febrero de 2013
16/01/13
[SQL Injection] INSERT INTO -¡Con Taller!Ir a la sección...
Bienvenido(a), Visitante. Por favor, INGRESA o REGÍSTRATE.
Portal Cargando
Foro
Blog
Cuadernos
Wargames
Ingresar
Registrarse
Hack x Crack » Seguridad Informatica » Bugs y Exploits » Defacing (Moderador: overload) » [SQL Injection] INSERT INTO -¡Con Taller!-
ENCUESTA
¿Qué te ha parecido elartículo?
Se ha entendido todo y aprendido cosas nuevas. El artículo está bien, pero ya hay muchos papers sobre este tema [dejar links para ampliar conocimientos , gracias] Está muy mal explicado. Otro: explicar en la caja de comentarios. 0 (0%) 0 (0%)
0 (0%) 0 (0%)
Total de votos: 0
« anterior próximo » Páginas: [1] Ir Abajo AUTOR TEM A: [SQL INJECTION] INSERT INTO -¡CON TALLER!- (LEÍDO153 VECES)
IMPRIMIR
1 Usuario y 15 Visitantes están viendo este tema.
prow
Residente de Hack x Crack [L4]
[SQL Injection] INSERT INTO -¡Con Taller!« en: Ay er a las 12:42:35 pm »
Topic Author
Por lo general me gusta escribir muy bien, no a la ligera, aunque en este caso voy a hacer una excepción. Simplemente dejaré que las palabras pasen de mi mente al teclado casi sin filtroalguno... ¿Razón? son las 5.30 de la madrugada y ya no estoy en muy buen estado mental. Dicho esto, comencemos:
Mensajes: 426
Citar
Referencias:
SQLi = Inyección SQL DB = Data Base = Base de Datos query = consulta
Introducción:
¿Se te había ocurrido revisar un formulario de registro, comentario, etc.? Si tu respuesta es No, estás ignorando alguno de los errores más comunes enprogramadores inexpertos. Estos, por lo general, solo filtran parámetros GET para query's que devolveran datos de la DB y a duras penas lo hacen con los POST... ¿por qué? se me ocurren algunas cosas, pero esto no viene al caso. Teniendo en cuenta lo mencionado anteriormente, yo me pregunto ¿qué hacen con los parametros destinados a formar parte de una query con una instrucción INSERT INTO (insertarregistros, para el que no sepa a estas alturas del partido jaja)?. La respuesta es facil, la mayoría de las veces ignoran su filtrado por el simple hecho de que no están destinados a ser utilizados en un SELECT, es decir, el programador piensa "¿Para que voy a filtrar ese parametro? Si total es (*1)POST (osea que los parametros son invisible jajajaja) y además no lo voy a usar para traerdatos". Creanlo, muchas veces es así y en este documeto vamos a ver como aprovecharnos de esos descuidos. Para aprovechar al máximo las explicaciones se recomienda tener conocimientos básicos en SQLi, ya que paso por alto la explicación de métodos básicos arraigados a esta técnica. Por cualquier duda está la caja de comentarios
www.hackxcrack.es/forum/index.php?topic=16117.0
1/5
16/01/13Citar
[SQL Injection] INSERT INTO -¡Con Taller!-
*1 Antes de que me reten, creo que se entendió que puse el método POST porque es el más utilizado para enviar formularios destinados a insertar datos. Lo de que los parámetros son "invisibles"... nótese el sarcasmo por favor.
Taller de práctica:
Voy a guiarme con un pequeño taller que acabo de armar (click aqui para descargar). Sólotienen que descagarlo, descomprimirlo, importar la DB y agregar la aplicación a tu servidor (que soporte php). Si tenés problemas de vista y no observaste que puse tres veces el link para la descarga del taller más arriba, aca te lo dejo devuelta : http://depositfiles.com/files/qd9xjrrfm
Citar Un vistaso a la página principal:
Manos a la obra:
Citar Antes que nada debo advertirte que este esun método demasiaaado explíc ito! Aunque por esto no deja de ser peligroso, y si tu estás empecinado en cargarte una web (en tu pentest autorizado, por supuesto tu decidirás. ) puedes utilizarlo como último o ante último recurso,
Ok, empecemos... Tablas: tenemos dos. Usuarios +-------+-------------+------+-----+---------+----------------+ | Field | Type | Null | Key | Default | Extra |...
[SQL Injection] INSERT INTO -¡Con Taller!Ir a la sección...
Bienvenido(a), Visitante. Por favor, INGRESA o REGÍSTRATE.
Portal Cargando
Foro
Blog
Cuadernos
Wargames
Ingresar
Registrarse
Hack x Crack » Seguridad Informatica » Bugs y Exploits » Defacing (Moderador: overload) » [SQL Injection] INSERT INTO -¡Con Taller!-
ENCUESTA
¿Qué te ha parecido elartículo?
Se ha entendido todo y aprendido cosas nuevas. El artículo está bien, pero ya hay muchos papers sobre este tema [dejar links para ampliar conocimientos , gracias] Está muy mal explicado. Otro: explicar en la caja de comentarios. 0 (0%) 0 (0%)
0 (0%) 0 (0%)
Total de votos: 0
« anterior próximo » Páginas: [1] Ir Abajo AUTOR TEM A: [SQL INJECTION] INSERT INTO -¡CON TALLER!- (LEÍDO153 VECES)
IMPRIMIR
1 Usuario y 15 Visitantes están viendo este tema.
prow
Residente de Hack x Crack [L4]
[SQL Injection] INSERT INTO -¡Con Taller!« en: Ay er a las 12:42:35 pm »
Topic Author
Por lo general me gusta escribir muy bien, no a la ligera, aunque en este caso voy a hacer una excepción. Simplemente dejaré que las palabras pasen de mi mente al teclado casi sin filtroalguno... ¿Razón? son las 5.30 de la madrugada y ya no estoy en muy buen estado mental. Dicho esto, comencemos:
Mensajes: 426
Citar
Referencias:
SQLi = Inyección SQL DB = Data Base = Base de Datos query = consulta
Introducción:
¿Se te había ocurrido revisar un formulario de registro, comentario, etc.? Si tu respuesta es No, estás ignorando alguno de los errores más comunes enprogramadores inexpertos. Estos, por lo general, solo filtran parámetros GET para query's que devolveran datos de la DB y a duras penas lo hacen con los POST... ¿por qué? se me ocurren algunas cosas, pero esto no viene al caso. Teniendo en cuenta lo mencionado anteriormente, yo me pregunto ¿qué hacen con los parametros destinados a formar parte de una query con una instrucción INSERT INTO (insertarregistros, para el que no sepa a estas alturas del partido jaja)?. La respuesta es facil, la mayoría de las veces ignoran su filtrado por el simple hecho de que no están destinados a ser utilizados en un SELECT, es decir, el programador piensa "¿Para que voy a filtrar ese parametro? Si total es (*1)POST (osea que los parametros son invisible jajajaja) y además no lo voy a usar para traerdatos". Creanlo, muchas veces es así y en este documeto vamos a ver como aprovecharnos de esos descuidos. Para aprovechar al máximo las explicaciones se recomienda tener conocimientos básicos en SQLi, ya que paso por alto la explicación de métodos básicos arraigados a esta técnica. Por cualquier duda está la caja de comentarios
www.hackxcrack.es/forum/index.php?topic=16117.0
1/5
16/01/13Citar
[SQL Injection] INSERT INTO -¡Con Taller!-
*1 Antes de que me reten, creo que se entendió que puse el método POST porque es el más utilizado para enviar formularios destinados a insertar datos. Lo de que los parámetros son "invisibles"... nótese el sarcasmo por favor.
Taller de práctica:
Voy a guiarme con un pequeño taller que acabo de armar (click aqui para descargar). Sólotienen que descagarlo, descomprimirlo, importar la DB y agregar la aplicación a tu servidor (que soporte php). Si tenés problemas de vista y no observaste que puse tres veces el link para la descarga del taller más arriba, aca te lo dejo devuelta : http://depositfiles.com/files/qd9xjrrfm
Citar Un vistaso a la página principal:
Manos a la obra:
Citar Antes que nada debo advertirte que este esun método demasiaaado explíc ito! Aunque por esto no deja de ser peligroso, y si tu estás empecinado en cargarte una web (en tu pentest autorizado, por supuesto tu decidirás. ) puedes utilizarlo como último o ante último recurso,
Ok, empecemos... Tablas: tenemos dos. Usuarios +-------+-------------+------+-----+---------+----------------+ | Field | Type | Null | Key | Default | Extra |...
Leer documento completo
Regístrate para leer el documento completo.