Domande con tag 'sql-injection'

domande con tag
3
risposte

Dovrei preoccuparmi di SQL Injection per le Web App interne?

Ultimamente ho lavorato molto con la scrittura di report che generano moduli sul posto di lavoro. A volte i report richiedono input forniti da un elenco a discesa e talvolta richiedono l'inserimento dei dati tramite la chiave. La mia domanda...
posta 26.06.2015 - 21:24
1
risposta

È pericoloso lasciare che l'utente inserisca in una dichiarazione sql LIKE

Supponendo di voler implementare un motore di ricerca, è pericoloso lasciare l'utente in un LIKE . Ad esempio: SELECT user FROM table WHERE user LIKE "[user input]" In questo caso, presumo che l'utente possa digitare caratteri com...
posta 03.08.2016 - 00:35
2
risposte

SQLi con filtro quote?

Sto facendo alcuni corsi di hacking, e in una delle lezioni, ho un possibile SQLi, ma nel codice sorgente di Python c'è una clausola if poco prima dell'istruzione SQL, che filtra il simbolo della citazione: user="user" pass="pass" if "'" in u...
posta 23.12.2018 - 13:17
1
risposta

ASP.net è più sicuro di PHP in generale? [chiuso]

In altre parole, la mia (versione lunga) domanda è: gli sviluppatori sono in grado di cavarsela, più usando ASP.net che PHP in termini di scrittura di codice sicuro per le loro app? Chiedo questo perché ASP.net ha molti meccanismi di sicurezz...
posta 10.02.2014 - 00:47
2
risposte

Eventuali effetti residui dopo l'esecuzione di SQLMAP?

Qualche tempo fa, i test di penetrazione sono stati eseguiti sul nostro sito Web e uno degli strumenti utilizzati era SQLMap È stato eseguito da una società di consulenza sulla sicurezza, ma sfortunatamente non ci ha informato in anticipo....
posta 04.02.2014 - 00:49
1
risposta

Possibilità di iniezione SQL mediante valori statici o predefiniti

L'uso delle variabili dirette è vulnerabile a SQL injection. Quindi per prevenire gli attacchi utilizziamo i parametri. $result->bindParam(":id",$_POST['id'],PDO::PARAM_INT) ma sono confuso riguardo la seguente situazione, devo usare par...
posta 08.08.2018 - 15:06
2
risposte

evasione per iniezione SQL

So che filtrare una cattiva parola chiave non è un buon approccio per prevenire l'iniezione SQL. Tuttavia, quando non potevo rispondere perché questo non è un buon approccio, ecco la mia regola: 1) Quando vedo ; , lo faccio a '' (in...
posta 14.04.2018 - 23:58
1
risposta

Come rendere Sqlmap ottenere i diritti di amministratore per il database?

How to make sqlmap obtain administrator rights for database? Sto usando sqlmap per sfruttare i database in un progetto DVWA. Tuttavia, dopo aver sfruttato il database, ho eseguito il seguente comando per imparare che l'utente è dvwa @%:...
posta 11.04.2018 - 10:30
2
risposte

Iniezione SQL tramite la dichiarazione di aggiornamento

Sto lavorando su per acquisire l'assegnazione della bandiera . Ci è stato detto che c'era una bandiera se è possibile accedere con le credenziali admin . La pagina principale non sembra essere vulnerabile all'iniezione SQL ma la pagina dell...
posta 13.04.2018 - 07:55
1
risposta

Come funziona questa unica iniezione SQL?

Ho trovato una sfida che era vulnerabile all'iniezione SQL ed è stato molto molto difficile da trovare Quindi, come funziona questo SQL univoco? L'ho trovato sul modulo di login in cui quando invio user=\&pass=||1# come payload ho ot...
posta 29.08.2018 - 05:55