Preguntas con etiqueta 'sql-injection'

preguntas con etiqueta
1
respuesta

SQLMap: Probando la URL del parámetro implícito

Estoy saturando el sitio web de un cliente pero no puedo encontrar una sintaxis para indicar a SQLMap que la variable que debería probar no tiene un nombre explícito en la URL. Ya probé el método MVC que dice usar * (asterisco, no func...
hecha 19.02.2015 - 20:52
1
respuesta

¿MySQL CONCAT con PDO es suficiente para proteger a los LIKE de la inyección de SQL?

Estoy desarrollando un sitio web accesible al público y accesible al usuario, donde el usuario puede ingresar un término de búsqueda hostil y arbitrario. Después de eso, la aplicación debe hacer algo así conceptualmente contra una base de datos...
hecha 30.09.2015 - 13:41
1
respuesta

SQLMap en una forma secuencial

Hay un determinado formulario que se publica a través de POST. La forma tiene algunos elementos de forma. Estoy haciendo un pen-test en la aplicación que tiene este formulario. Los valores del formulario se almacenan en una base de datos determi...
hecha 12.05.2015 - 19:38
1
respuesta

¿Qué tan fácil es hacer una tarjeta de identidad / banco maliciosa?

Hace poco recibí un lector de tarjetas magnéticas que se conecta a mi computadora porque estaba aburrido. Decidí escanear mi identificación y mi tarjeta bancaria y me sorprendió ver que mi número de identificación / número de tarjeta bancaria ap...
hecha 22.04.2014 - 14:04
0
respuestas

¿Es posible un vector de ataque? [cerrado]

Así que me aburrí y decidí meterme en una búsqueda de recompensas por errores. Fui a un sitio web que tiene un programa de recompensas de errores y este sitio web es para descargar aplicaciones. Fui al campo Ingresar un código de tarjeta de rega...
hecha 02.06.2018 - 03:05
2
respuestas

impidiendo la inyección de SQL con la longitud de la cadena [duplicado]

Esto dista mucho de ser una buena práctica, pero acabo de ver un fragmento de código que me pareció muy interesante, como mínimo. El código estaba ejecutando algo de SQL y no estaba usando declaraciones preparadas, por lo que está completament...
hecha 22.03.2018 - 10:39
1
respuesta

Inyección de SQL falsa positiva por ZAP con la adición de una nueva consulta de parámetros

Tengo una aplicación web Spring MVC y estoy ejecutando ZAP Active scan en ella. Noté que ZAP modificará la URL y agregará un parámetro adicional llamado query y valor query+AND+1%3D1+--+ para probar la inyección de SQL. Y en mi...
hecha 17.08.2018 - 10:49
1
respuesta

¿Por qué falla este intento de inyección SQL en DVWA?

Estoy practicando la inyección de SQL en DVWA (no ciego) con la configuración de seguridad más baja. Quiero enumerar las tablas en la base de datos actual. Para hacer eso, intento ingresar 0 '; Mostrar tablas; en el campo ID de usuario como este...
hecha 28.02.2016 - 02:29
0
respuestas

seguridad SQL - Transacciones ACID y bloqueo para evitar el fraude financiero (¿ataque de tiempo?) [cerrado]

Estoy tratando de evitar que algo similar a esto suceda: enlace Básicamente, el intercambio financiero estaba usando transacciones no ACID y las solicitudes múltiples enviadas casi a tiempo entre sí podrían resultar en retiros duplicados...
hecha 02.01.2016 - 22:50
4
respuestas

¿Un método más rápido que el de Blind SQL Injection?

La inyección de SQL ciego se basa en pruebas VERDADERAS / FALSAS. Aquí hay un ejemplo: is first letter A? --> NO is first letter B? --> YES is second letter A? --> NO ... is last letter X? --> YES No es un método rápido. ¿Sabes...
hecha 12.06.2012 - 13:52