¿Qué es el SQL injection?
Una inyección de SQL, a veces abreviada como SQLi, es un tipo de vulnerabilidad en la que un atacante usa un trozo de código SQL (lenguaje de consulta estructurado) para manipular una base de datos y acceder a información potencialmente valiosa.
Secuencias de comandos entre sitios (XSS)
Cross Site Scripting o XSS es una vulnerabilidad en la que el usuario de una aplicación puede enviar JavaScript que ejecuta el navegador de otro usuario de la misma aplicación.
Esta es una vulnerabilidad porque JavaScript tiene un alto grado de control sobre el navegador web de un usuario.
Por ejemplo, JavaScript tiene la capacidad de:
Modificar la página (llamada DOM)
Enviar más solicitudes HTTP
Acceder a las cookies
Al combinar todas estas capacidades, XSS puede usar JavaScript de forma malintencionada para extraer las cookies del usuario y enviarlas a un servidor controlado por un atacante. XSS también puede modificar el DOM para suplantar las contraseñas de los usuarios. Esto solo araña la superficie de lo que se puede usar para XSS.
XSS generalmente se divide en tres categorías:
XSS reflejado
XSS almacenado
DOM XSS
≪ °° ≫
≪ °° ≫
≪ °° ≫
≪ °° ≫
SQL Injection es una vulnerabilidad en la que una aplicación recibe información de un usuario y no confirma que la entrada del usuario no contiene SQL adicional.
Codigo
<?php
$usuario = $_GET [ usuario ]; // kchung
$resultado = mysql_query ( "SELECT * FROM usuarios WHERE nombreusuario= $nombreusuario " );
?>
≪ °° ≫
≪ °° ≫
Con el conocimiento de que una comilla simple causará un error en la aplicación, podemos ampliar un poco más sobre SQL Injection.
¿ Qué pasaría si nuestra entrada fuera OR =?
≪ °° ≫
Aplicado en la vida real xd
@luishinopericena #informatica #ciberseguridad #universidadgabrielrenemoreno #ciberseguridad #termux #ficct #uagrm #linux #mysql #informatica #kalilinux Goner - twenty one pilots ≪ °° ≫
https://ctf101.org?data= <script> alerta(1) </script>
@luishinopericena
⇜⇝⇜⇝⇜⇝⇜⇝
=͟͞͞ʕ•̫͡•ʔ =͟͟͞ʕ•̫͡•ʔ =͟͟͞ʕ•̫͡•ʔ =͟͟͞ʕ•̫͡•ʔ =͟͟͞ʕ•̫͡•ʔ =͟͞͞ʕ•̫͡•ʔ
ADVERTENCIA: NO INTENTE HACER UN ATAQUE SIN EL PERMISO DE PROPIETARIO DEL SITIO WEB. ES UN PROPÓSITO EDUCATIVO SOLAMENTE. NO ES RESPONSABLE DE NINGÚN TIPO DE PROBLEMA ILEGAL. PERMANECE LEGAL.
GRACIAS!
Si tienes algún problema, deja un comentario y comparte tú opinión.
¿Ha quedado contestada su pregunta?
Mi nombre es Luishiño aquí es donde me gusta escribir sobre temas que en su momento me interesan. Aveces sobre mi vida personal y principalmente cosas de programación ,desarrollo web.Aplicaciones,Software, programas que yo mismo las desarrollo y cosas básicas de informática..
Fuente: este post proviene de The Seven Codes, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado: