SQLInjection

[ProgramadorASP 0]

AE galera!!

 

Gostaria de saber como consigo entrar em um sistema de LOGIN e senha sem a protecao de SQLInjection.

 

E um tal de ASPAS DUPLAS e SIMPLES nao sei!!

 

Gostaria de saber...sera que alguem pode me dizer http://forum.imasters.com.br/public/style_emoticons/default/bye1.gif

[alphamek 2]

Tente isso no campo de LOGIN

 

'1'='1'

 

e aperte LOGAR ou OK ou ENTRAR... qualquer coisa. Beleza.

 

http://forum.imasters.com.br/public/style_emoticons/default/devil.gif

[ProgramadorASP 0]

Coloquei isso '1'='1'no campo de USER e PASSWORD, no entanto a pagina foi para VERIFICA.ASPonde deu ERRO INTERNO, o que eu faco agora para visualizar o conteudo protegido do site.. :blink:

[alphamek 2]

não coloca na SENHA!Deixa só no LOGIN!

[ProgramadorASP 0]

e depois o que que eu faco?!?!

[ProgramadorASP 0]

Cara e por isso mesmo, quero saber como e esse tal de SQLInjection.Quero saber do que estou "protegendo" meu sistema.Eu nao sei como posso "burlar" o sistema usando a SQLInjection, e por isso quero aprender, sei que e com " ' , mas nao sei o que faco depois.?!?! :D

[ProgramadorASP 0]

Sim cara, mas como o alphamek me falou acima, eu quero saber como faco para burlar o sistema.quero aprender a fazer isso!!entedeu!!a lance da protecao eu sei, quero saber agora e fazer!!!

[alphamek 2]

Use '1'='1' apenas no campo LOGIN! O campo SENHA deixa vazio. E aperta o botão do FORM! Isso dava certo para sistemas em cima de SQL server. Abraços,

[Mário Monteiro 179]

' OR '1'='1

tenta esta parada que o kdu colocou...

[rOcKLoCo 0]

Cara, tem um CD no site da MSDN sobre segurança, e fala sobre a parte de SQL Injection...dá uma olhada... é muito bom, e fala sobre a parte de segurança em Web tmb..falows

[dark0 0]

o esquema eh o modo q o kdu postou..eu criei uma vez um mini tutorial no aspbrasil.. sobre isso aecom o titulo de 'segurança em formularios', hehehePra proteger o sistema é só dar replace na aspa simples e trocar por duas..

[Mário Monteiro 179]

o esquema eh o modo q o kdu postou..

 

eu criei uma vez um mini tutorial no aspbrasil.. sobre isso ae

com o titulo de 'segurança em formularios', hehehe

 

Pra proteger o sistema é só dar replace na aspa simples e trocar por duas..

esse esquema alem de aumentar um pouco a segunça evita erros na SQL...

[kameibr 0]

Um comando para você testar

 

' UPDATE nomedatabela Set nomedacoluna = coloque oque você deseja upar na coluna exemplo: 100 WHERE (nomedeumacolunaidentificadora exemplo Name = 'nome do usuario, ou do que irá identificar. exemplo: kameibr')--

 

 

 

EXEMPLO COMPLETO

' UPDATE Character Set Life = 100 WHERE (Name = 'Rush')--

[saloeric 1]

boas tenho tado atento a este tipo de segurança, a verdade é q tenho testado aqui internamente mas nunca consigo burlar nada.no site mesmo utilizo sempre oon error resume nextantes da conexão com base de dados e nunca dá erro de base de dados, mesmo sem tratamento de pelica.

[Salgado 4]

boas tenho tado atento a este tipo de segurança, a verdade é q tenho testado aqui internamente mas nunca consigo burlar nada.

 

no site mesmo utilizo sempre o

 

on error resume next

 

antes da conexão com base de dados e nunca dá erro de base de dados, mesmo sem tratamento de pelica.

Isso não impede que seja usada com sucesso. Um DELETE ou UPDATE pode acontecer mesmo sem o "Atacante" ter certeza que rolou. O on error ... Dificulta mas não impede.