Cómo hackear una página web en menos de 2 minutos (inyección de SQL)

Hola y Bienvenidos a mi otro instructivo. En este instructable te diré cómo a hackear un sitio web en menos de 2 minutos usando inyección de SQL.

'' Yo estoy no se responsabiliza por cualquier hackeo hecho por alguien ''

Introducción a la inyección de Sql:

Una inyección SQL es un tipo de vulnerabilidad de la inyección en el que
el atacante intenta inyectar piezas arbitrarias de datos maliciosos en los campos de entrada de una aplicación, que, cuando el procesado por la aplicación, hace que no preveían datos para ejecutarse como un trozo de código por el back-end SQL server dando no deseado resulta que el desarrollador de la aplicación. El servidor back-end puede ser cualquier servidor SQL (MySQL, MSSQL, ORACLE, POSTGRESS, para nombrar unos pocos)

La capacidad del atacante para ejecutar código (sentencias SQL) a través de parámetros de entrada vulnerables faculta a interactuar directamente con el back-end SQL server tal modo aprovechar casi un compromiso completo del sistema en la mayoría de los casos.

¿Por qué produce la inyección de SQL?

Generalmente cuando una aplicación se comunica con el servidor
base de datos, lo hace en forma de consultas con la ayuda de un controlador de base de datos subyacente. Este controlador es dependiente de la plataforma de aplicaciones se utilizan y el tipo de base de datos back-end, como MYSQL, MSSQL, DB2 u ORACLE.

Una consulta de inicio de sesión genérica sería algo como esto:

' SELECT Column1, Column2, Column3 de table_name WHERE nombre_usuario =' $variable1′ y contraseña = '$variable2′;'

Podemos dividir esta pregunta en dos partes, la sección del código y la sección de datos. La sección de datos es el $variable1 y $variable2 y cotizaciones se utilizan alrededor de la variable para definir el límite de la cadena.

Permítanos caminar a través del proceso de una manera cruda. Decir en el formulario de login, el nombre de usuario introducido es Admin y contraseña es p que es recogida por el uso y valores de $variable1 y $variable2 se colocan en sus respectivos lugares en la consulta, lo que es algo como esto.

' Seleccionar Column1, column2, Column3 de table_name WHERE nombre_usuario = 'Admin' AND contraseña ='p

Ahora el desarrollador asume que los usuarios de su aplicación siempre pondrá una combinación nombre de usuario y contraseña para obtener una consulta válida para la evaluación de la base de datos back-end. ¿Qué pasa si el usuario es malévolo y escribe algunos caracteres que tienen algún significado especial en la consulta? Por ejemplo, una comilla simple. Así, en vez de poner Admin, pone Admin', de tal modo causando un error arrojado por el controlador de DB. ¿Por qué? Debido a la cotización introducida por el usuario rompiendo la lógica de la aplicación.

Etiquetas: Hack, Sql

Artículos Relacionados

Cómo hacer una página web

Cómo hacer una página web

Aprende a crear tu propia página web usando HTML!Paso 1: Introducción:La columna vertebral de cualquier página web se compone de archivos de Hyper Text Markup Language (HTML). Esta guía le mostrará cómo crear una sencilla página web utilizando su últ
Cómo cambiar una página web dentro del navegador web Google Chrome

Cómo cambiar una página web dentro del navegador web Google Chrome

este instructable le mostrará cómo cambiar una página web usando el navegador Chrome.Todo lo que necesitas es el navegador de Google Chrome y un ordenador.Paso 1: Abra una página web Abra el navegador de Google Chrome y abrir cualquier página web que
Guardar una página web con todo lo que en XP (NO requiere INTERNET!)

Guardar una página web con todo lo que en XP (NO requiere INTERNET!)

En este instructable, voy a mostrarte cómo guardar una página web utilizando internet explorer, Microsoft Windows XP Pro. y una conexión a internet. Al hacer esto, requiere una conexión a internet para cargar la página web, pero no a ver cuando se gu
Cómo incrustar vídeos en una página web usando HTML5

Cómo incrustar vídeos en una página web usando HTML5

este tutorial le mostrará cómo poner cualquier video en un sitio web usando HTML5 y la nueva etiqueta. Mediante el uso de HTML5 puede tener videos en su sitio de Internet sin necesidad de algún plugin como Adobe Flash, y se puede reproducir en dispos
Conducir a una página web en tiempo real usando Arduino, SensorMonkey y Processing.js

Conducir a una página web en tiempo real usando Arduino, SensorMonkey y Processing.js

visualización remota de datos en tiempo real.Este tutorial describe detalladamente cómo utilizar el servicio gratuito de SensorMonkey para datos de los sensores en tiempo real push desde un Arduino a una página web para la visualización con Processin
PSD a HTML5 conversión: agregar un Slider HTML5 a una página web - parte 1

PSD a HTML5 conversión: agregar un Slider HTML5 a una página web - parte 1

hace ya más de un año HTML5 hizo su manera en la industria web. Pero aún queda mucha gente, generalmente incluyendo los principiantes y los intermedios, resulta difícil hacer un Slider HTML5 para una página web. Así que con este PSD a tutorial de con
Actualizar datos de MySql en una página Web

Actualizar datos de MySql en una página Web

En mi primer Instructable "Arduino conseguir datos a una página web" hablé acerca de actualizar los datos mediante el comando Meta para refrescar el contenido de datos de MySQL. El problema con esto es que se actualiza la página entera y posible
Cómo divertir a una página web-Cool

Cómo divertir a una página web-Cool

Cómo divertir a una página web - ver los mejores video clips aquí usar este truco para desviar ejemplo de dirección de la Página Web... Si entras a google.com en la url, inmediatamente se desvían en el metacafe o cualquier sitio web que configuró sig
Controlar las luces a través de una página web!

Controlar las luces a través de una página web!

Después de jugar con los controladores de RF por un tiempo, me di cuenta de una importante desventaja es la necesidad de disponer de un transmisor para enviar una señal al receptor. ¿No sería agradable si podía usar mi teléfono como emisor? Bueno, es
Página Web de raspado desde/hacia una página web.

Página Web de raspado desde/hacia una página web.

El objetivo del proyecto es tomar el mando como archivos por lotes y hacerlos accesibles desde la web. Podrás hacer tu propia página web y no tener que depender de alguien para preparar para usted. Web para raspar de nuevo a la web la página otra vez
Cómo crear iWeb de una página web usando Apple

Cómo crear iWeb de una página web usando Apple

queremos mostrarte cómo crear una página web con aplicación de iWeb de Apple. Que enseñarle cómo hacerlo en 5 pasos!Paso 1: Paso 1: abrir y elegir temaDesde la pantalla principal, haga clic en la carpeta de aplicaciones o la plataforma de lanzamiento
¿Video Tutorial: Como crear una página Web con los productos SliceMaker?

¿Video Tutorial: Como crear una página Web con los productos SliceMaker?

Este es un video tutorial de productos SliceMaker. En este video tutorial te enseñamos cómo crear una página web completa con la ayuda de productos SliceMaker.No necesita escribir los códigos manualmente al crear una página web con los productos Slic
¿Slicemaker Tutorial: Cómo crear una página Web con SliceMaker productos?

¿Slicemaker Tutorial: Cómo crear una página Web con SliceMaker productos?

SliceMaker Soft seguirá proporcionándole nuevos tutoriales de vídeo sobre cómo usar sus productos. Este es uno de los video tutoials de productos SliceMaker. A través de este tutorial, aprenderás fácilmente cómo crear una página web con los productos
¿Cómo crear una página web sin conocimientos de programación?

¿Cómo crear una página web sin conocimientos de programación?

a través de este tutorial, usted puede crear fácilmente una página web dentro de varios pasos en lugar de escribir los códigos web complicadas.