È sufficiente aggiungere un apostrofo per immettere il comando su SQLi che apporta modifiche nel database?

-2

Se provo a trovare una vulnerabilità di SQL injection in un modulo di login dell'amministratore inserendo un apostrofo dopo il nome utente ( username' ) e scrivendo una password, questa vulnerabilità controllerà l'effetto o modificherà qualcosa nel database?

Quando ho inserito un apostrofo dopo il nome utente non è stato riscontrato alcun errore di sintassi SQL, ma il sito è stato ricaricato.

    
posta Rifat 28.06.2018 - 19:25
fonte

1 risposta

1

È molto, molto improbabile che cambierebbe qualcosa.

Penso sia sicuro presumere che la query SQL a cui si sta effettuando l'iniezione sia una query SELECT. Tale query non modifica il contenuto del database, recupera solo i dati. Se hai interrotto la query (ad es. Con ; ) e hai avviato una nuova query INSERT o UPDATE, potresti eventualmente modificare i dati, ma non sembra averlo fatto.

Se non ricevi alcun errore e il sito si ricarica, è probabilmente un segno che il tuo attacco di iniezione è stato rilevato ed evitato. O che semplicemente non ha funzionato.

Quindi, mentre non penso che la query SQL che hai iniettato abbia cambiato qualcosa, è impossibile dire qualcosa con certezza del 100%. L'applicazione potrebbe seguire qualsiasi logica arbitraria e senza rivedere il codice sorgente che non si può veramente conoscere. Ma lasciami dire questo: se fossi in te, non sarei così preoccupato.

    
risposta data 28.06.2018 - 19:43
fonte

Leggi altre domande sui tag