Preguntas con etiqueta 'sql-injection'

2
respuestas

Inyección de SQL ciego con Acunetrix Vulnerability Scanner

Estoy tratando de analizar los resultados de las pruebas para la inyección ciega de SQL usando Acunetrix Vulnerability Scanner. URL encoded POST input address was set to if(now()=sysdate(),sleep(0),0)/*'XOR(if(now()=sysdate(),sleep(0),0))OR'"...
hecha 20.09.2016 - 05:42
1
respuesta

Probar la vulnerabilidad de inyección de SQL

Recientemente he descubierto lo que creo que es una falla grave en la seguridad de un programa de computadora de terceros utilizado en mi empresa. Disculpas por mantener deliberadamente los detalles vagos, ¡pero espero que lo entiendan! Al in...
hecha 04.02.2015 - 14:02
2
respuestas

¿Se pueden evitar 4 comillas simples produciendo una inyección de SQL en el servidor de SQL? [duplicar]

Encontré una ruptura simple en una cláusula where en uno de nuestros proyectos donde el código es tan antiguo que dicen que no pueden usar parámetros para comunicarse con ms SQL Server. Está escrito en C ++, no puedo leer este idioma y no pued...
hecha 07.02.2018 - 10:51
2
respuestas

Capa de abstracción de SQL: ¿Un mecanismo preventivo para SQLi?

Al realizar un pentest para una aplicación basada en Java, encontré un error de SQL (en realidad, HQL) simplemente colocando una comilla en uno de los parámetros de solicitud y rompiendo la sintaxis de la consulta. Pero como la aplicación hizo u...
hecha 26.05.2014 - 22:10
1
respuesta

¿Cómo actualizar la tabla con sqlmap y sin consultas apiladas?

voto negativo favorito Estoy tratando de usar el siguiente código sqlmap -u "http://exp.com/portal/pd.jsp action=edit&info=products&sub_info=price" --cookie="JSESSIONID....." --dbms Oracle -D PRODUCTS -T PRICE --threads 10 --sql-query...
hecha 26.03.2017 - 04:06
1
respuesta

xp_cmdshell para agregar el administrador del dominio

El otro día hice una evaluación de la inyección de SQL y la única pregunta que no hice fue agregar un administrador de dominio. Tengo acceso a xp_cmdshell. Intenté net user username password /ADD /DOMAIN pero el permiso fue denegado SQ...
hecha 21.01.2016 - 23:52
1
respuesta

Plugin para integrar SQLMAP y BURP SUITE [cerrado]

Estoy tratando de hacer una inyección SQL utilizando el complemento de Burp de SQLMAP que descargué de enlace . He seguido los pasos para las ventanas provistas en enlace . Pero cuando ejecuto el comando proporcionado, aparece un error como:...
hecha 15.12.2015 - 06:56
1
respuesta

¿Implementación de procedimientos almacenados de VB.NET?

Mientras revisaba el código de una aplicación vb.net, encontré la siguiente implementación de procedimientos almacenados utilizando ExecuteDataSet Result = DBInstance.ExecuteDataSet(Name, paramArrayList.ToArray) Aquí, 'Nombre' es el nomb...
hecha 16.04.2014 - 08:04
0
respuestas

Obtención de grandes conjuntos de datos para investigación: MySQL, PHP, Apache, etc.

He estado buscando en la web conjuntos de datos de gran tamaño (específicamente archivos de registro relacionados con la web: MySQL, PHP, Apache, etc.) que contienen datos de intentos de intrusiones / exploits. Estoy haciendo una investigación s...
hecha 22.07.2015 - 17:34
4
respuestas

Saneamiento de consultas SQL (lista negra)

Tengo un problema / desafío siguiente: La aplicación web (ASP.NET 3.5) instalada en la LAN corporativa y opera en SQL Server DB debe proporcionar la capacidad de generar informes personalizados. Estos informes pueden ser, básicamente, cualqui...
hecha 18.01.2012 - 09:27