Tema: Ayuda con Blind SQL Injection
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 05/01/2010, 13:17
Avatar de TKZeXe
TKZeXe
 
Fecha de Ingreso: diciembre-2009
Ubicación: Flowers
Mensajes: 166
Antigüedad: 14 años, 4 meses
Puntos: 6
Respuesta: Ayuda con Blind SQL Injection
Blind injection es una tecnica para injectar sql code sin saber los errores que te arroja , pueden
sacar una contraseña por ejemplo a fuerza bruta, con tamperdata por ejemplo poniendo como password:

tkz' or 'a'='a

inclusive ataques de diccionario, te recomiendo escapar las cadenas ingresadas con addslashes y cualquier metodo para encontrar SQL code en las urls, te lo puedes hacer tu con REGXP si lo deseas, para que no te encuentres con UNION , DROP, SHUTDOWN,DELETE , UPDATE, etc
en las urls, tambien hazte un log de todo lo que ingresa el usuario por los campos, ais te daras una idea de por donde te intentan atacar.

esto por mientras.

ejemplo de uno de logs:
Código txt: 
Ver original
  1. ==================================
  2. IP: 200.83.123.16
  3. Method: POST
  4. Value:  \'x\'; update character set strength=32767,dexterity=32767,energy=32767,vitality=32767,leadership=32767 where name = \'koyote\'
  5. Script: 
  6. Time: Sunday 28th 2009f June 2009 10:23:30 PM
  7. ==================================
  8. IP: 200.83.123.16
  9. Method: POST
  10. Value:  \'x\'; INSERT INTO MuWeb_admin(username,password,securitycode)VALUES(\'MUAdmin\',\'123123\',\'0123\')
  11. Script: 
  12. Time: Sunday 28th 2009f June 2009 10:24:17 PM
  13. ==================================

bites