Inyección de SQL: Eliminar todas las tablas

Question

Inyección de SQL: Eliminar todas las tablas

#1 de rook (17 votos)
#2 de Nicola Pesavento (0 votos)

12

Utilicé algunos escáneres de vulnerabilidades para verificar un sitio mío y se devolvió una instancia de inyección ciega de SQL. Sin embargo, cuando intento explotar esta vulnerabilidad al ingresar lo siguiente en la barra de direcciones, no sucede nada:

http://www.example.com/articles.php?id=-1' or 68 = '66; DROP ALL TABLES; --

No veo por qué esto no funciona. ¿Cuál es el texto correcto que debo ingresar en la barra de direcciones para eliminar todas las tablas (y sí, estoy probando esto en una copia de seguridad del sitio)?

sql-injection exploit known-vulnerabilities mysql vulnerability-scanners

pregunta Pamela 07.04.2013 - 17:34

fuente

2 respuestas

0

Si el sitio no utiliza apóstrofes ( ' ), puede intentar esto:

http://www.example.com/articles.php?id=-1; DROP ALL TABLES; --

respondido por el Nicola Pesavento 07.04.2013 - 17:56

fuente

Lea otras preguntas en las etiquetas sql-injection exploit known-vulnerabilities mysql vulnerability-scanners

Potentes herramientas de seguridad para usar en pruebas de penetración ¿Puedo protegerme contra el registro de teclas usando el mouse? [duplicar]

score 17 · Accepted Answer

La gran mayoría de aplicaciones web no permite el apilamiento de consultas. Con PHP / MySQL, la aplicación puede permitir el apilamiento de consultas si utiliza las funciones mysqli::multi_query() o mysqli_multi_query() .

Puede explotar estos sistemas utilizando sub-selección, selecciones de unión, inyección ciega de sql, into outfile o loadfile() . SQLMap y Havij son herramientas que automatizan la explotación de la inyección SQL. SQLMap es una gran herramienta con una amplia gama de características y es compatible con una amplia variedad de inyecciones y DBMS.