Preguntas con etiqueta 'sql-injection'

preguntas con etiqueta
4
respuestas

Probando urls limpias con sqlmap

¿Es posible probar las vulnerabilidades de inyección de SQL con el uso de sqlmap con una url que usa reescritura de mod (o algo parecido) para limpiar las urls? Sé cómo probar mis sitios que tienen direcciones URL como: http://mysite.com/...
hecha 02.08.2011 - 18:48
7
respuestas

¿Las mejores prácticas para prevenir la inyección de SQL?

La inyección de SQL siempre es un tema candente, especialmente cuando se trata de seguridad web. En este sentido, estoy interesado en cuáles son los pasos que deben tomarse siempre para evitar la inyección de SQL en cualquier aplicación web. Ade...
hecha 20.12.2010 - 20:56
3
respuestas

¿Cómo vencer la duplicación de apóstrofes para crear un ataque SQLi?

Sé que algunos desarrolladores duplican apóstrofes para mitigar SQLi. (Esto es cuando la entrada es 'por lo que se convierte en' ') ¿Hay alguna manera de superar esto? Esto está en el servidor MS SQl.     
hecha 18.12.2015 - 10:35
4
respuestas

¿Es posible realizar una inyección SQL (nivel ALTO) en la aplicación web Damn Vulnerable?

Busqué en todo Google para ver cómo sería posible evitar lo siguiente (es del alto nivel de seguridad de DVWA ): <?php if (isset($_GET['Submit'])) { // Retrieve data $id = $_GET['id']; $id = stripslashes($id); $id = mysql_real_escap...
hecha 03.10.2013 - 19:35
2
respuestas

¿Por qué se necesita CSP para protegerse contra la fuga de img-src?

GitHub explica el problema con img-src en "Viaje post-CSP de GitHub" :    Una etiqueta con una comilla no cerrada capturará toda la salida hasta la siguiente   cita coincidente. Esto podría incluir contenido sensible a la seguridad en...
hecha 26.01.2017 - 08:53
3
respuestas

¿Cómo evito este tipo de ataque de inyección SQL?

Nuestra compañía ha estado usando varias herramientas (Veracode, Appscan, etc.) para verificar que nuestras aplicaciones cumplan con los requisitos mínimos de seguridad. He heredado una aplicación heredada que tiene varios defectos. Me las arreg...
hecha 11.12.2012 - 17:40
3
respuestas

¿Por qué los probadores a menudo usan la comilla simple (') para probar la inyección de SQL?

Se ha visto que los probadores de seguridad ingresan 'o; en los puntos de entrada de la aplicación para probar la inyección de SQL. ¿Por qué se utilizan estos caracteres?     
hecha 23.09.2014 - 11:19
6
respuestas

xp_cmdshell: ¿debería usarse alguna vez?

¿Se puede utilizar xp_cmdshell de manera segura dentro de un proceso almacenado y hay situaciones en las que realmente no hay otra opción? En otras palabras, ¿debería su uso dentro de un proceso almacenado siempre ser marcado como un problema...
hecha 25.03.2011 - 16:08
2
respuestas

¿La inyección en una arquitectura de base de datos NoSQL también se llama inyección SQL?

Es la inyección en una arquitectura de base de datos NoSQL también llamada inyección SQL y sigue siendo parte de OWASP 2013 Top 10 , ¿Inyección de la categoría A1? Por ejemplo, una inyección en el código que se comunica con las siguientes ar...
hecha 22.06.2016 - 10:45
3
respuestas

¿Deben validarse las direcciones IP para evitar la inyección SQL?

En PHP recupero la dirección IP de un usuario ( $_SERVER['REMOTE_ADDR'] ) para usarla en algunas consultas de MySQL, pero no las valida para que sean verdaderas direcciones IP. ¿Debo validar las direcciones IP de los usuarios antes d...
hecha 25.07.2012 - 16:48