Preguntas con etiqueta 'sql-injection'

preguntas con etiqueta
0
respuestas

sqlmap no reconoce la vulnerabilidad de inyección ciega de SQL

Tengo una vulnerabilidad de inyección de SQL ciega verificada, pero SQLMap no puede reconocerla. Lo he verificado ingresando los siguientes parámetros para el parámetro POST "s": s=OR'"XOR(if(now()=sysdate(),sleep(5),0))OR" Causes 5 second ser...
hecha 23.10.2016 - 21:01
1
respuesta

mySQL para superar el comportamiento extraño

Tengo sql-injection con file_priv = Y (usuario root) pero solo puedo crear archivos en los directorios / tmp y / var / tmp incluso cuando tengo 777 permisos en la carpeta de destino. El servidor mysql simplemente no creará el archivo ( Errcode 1...
hecha 13.05.2016 - 15:56
0
respuestas

¿Qué logra esta consulta inyectada?

En este enlace muy bueno puede ver algunas expresiones de inyección SQL para MySQL.    Detección rápida       SQLi basado en errores       Para entradas de enteros: (select 1 and row(1,1)>(select count(*),concat(CONCAT(@@VERSIO...
hecha 20.05.2016 - 13:43
0
respuestas

inyección de 2 fases SQL

Estoy trabajando en el Ejemplo 8 en la Web de PentesterLab para el curso Pentester II. El sitio (falso) cuenta con una base de datos MySQL, con un nombre de usuario & campos de entrada de contraseña. Después de ingresar un nombre de usuario...
hecha 14.09.2016 - 01:29
2
respuestas

¿Qué es la inyección SQL?

¿Cuál es el significado de inyección SQL? No soy capaz de entender el término. ¿Y qué problemas pueden ser causados por la inyección de SQL?     
hecha 24.01.2012 - 12:16
0
respuestas

¿Cómo protegerse contra la inyección SQL en Jaggeryjs?

Estoy trabajando con Jaggeryjs ahora que es un lado del servidor JavaScript como Nodejs . Cuando probé el ejemplo mencionado en la documentación , han proporcionado un ejemplo simple como Statement en Java. Por lo tanto, hice algo de Goo...
hecha 25.08.2015 - 21:31
0
respuestas

¿Por qué los campos de columna no aparecen al inyectar nombres de columna?

Estoy practicando inyección SQL. He podido obtener los nombres de columna y de tabla en un entorno de prueba. consulta 1. Al ejecutar la siguiente consulta, veo adminId, adminUsername, adminPassword    enlace union select 1,2, group_conc...
hecha 08.04.2015 - 04:24
0
respuestas

¿Cómo permitir que INFORMATION_SCHEMA.TABLES pase a través del filtro SQLi?

Estoy practicando la inyección de SQL en un banco de pruebas donde las palabras clave OR y AND están en la lista negra. Al usar operadores lógicos como || y && , puedo continuar. Sin embargo, al intentar la sig...
hecha 19.05.2015 - 05:04
1
respuesta

¿Cómo ve la víctima las pruebas / inyecciones de mapa de planta?

Me pregunto si el webmaster normal puede obtener información sobre la inyección de SQL en sus sitios. Supongo que está escrito en algún registro, y solo si ves los registros verás esa actividad, ¿me equivoco? ¿Debería el atacante usar algún p...
hecha 15.08.2014 - 07:42
1
respuesta

¿Por qué es una mala idea escapar de HTML antes de escapar de SQL? [duplicar]

Desde la perspectiva de la seguridad (y no la facilidad de uso, como se explica aquí enlace ), ¿por qué es una mala idea escapar de HTML antes de escapar de SQL?     
hecha 23.05.2014 - 17:05