0 members
0 Anonymous Members
- Groups' legend
- Administrator
- Top User
- Fan
- Top User
| |||||
The newest member is Smyleworld
Most users ever online was 999 on 5/11/2020, 19:18
Start:
Cos'è un SQLi? E' l'iniezione di query in una pagina web per riuscire a visualizzare i dati sensibili degli utenti registrati nel sito vittima.
In questo nostro paper useremo come sito esempio www.miosito-buggato.it che presenta un bug alla pagina
www.miosito-buggato.it/article/articolo.php?i=123.
Il procedimento di questo nostro attacco sarà più o meno simile a quello visto in precedenza solo che per certi aspetti potrà sembrarci
più semplice, per altri più complesso, sta a noi riuscire a sfruttare bene il bug con le nostre conoscenze, e a volte c'è bisogno di velocità,
prima che fixino il bug e di conseguenza potremmo non avere a disposizione molto per lavorarci. Come prima cosa dobbiamo vedere se il
bug è presente e per fare ciò abbiamo più di una opzione. Facciamo un paio di esempi:
www.miosito-buggato.it/article/articolo.php?i=123' <--- Restituisce un errore
Ciò significa che la pagina potrebbe essere buggata.. oppure:
www.miosito-buggato.it/article/articolo.php?i=123 and 1=1-- <--- La pagina viene visualizzata
www.miosito-buggato.it/article/articolo.php?i=123 and 1=2-- <--- Restituisce un errore
Nel primo caso inserendo "and 1=1" diremo al sito di visualizzare la pagine se 1=1 (true and true = true) e visto che 1 è sempre uguale a
1 allora la pagina verrà visualizzata, nel secondo caso "and 1=2" (true and false = false) 1 non è uguale a 2 e quindi restituirà un errore.
Altri esempi possono essere i seguenti:
www.miosito-buggato.it/article/articolo.php?i= <--- Riceveremo un errore o redirect
www.miosito-buggato.it/article/articolo.php?i=123Ciao <--- Riceremo un errore tipo: "Unknown column '1hello' in 'where clause"
www.miosito-buggato.it/article/articolo.php?i=123)/* <--- errore
www.miosito-buggato.it/article/articolo.php?i=123')-- <--- errore
www.miosito-buggato.it/article/articolo.php?i=123"/* <--- errore
...
| |||||
Last comments