sql injection

[bimpercursso 0]

Olá amigos, estou tentando uma serie de sql injections no meu site , e ao injetar , obtenho o seguinte erro :::Microsoft JET Database Engine error '80040e14'Characters found after end of SQL statement.OBS: este erro ocorre quando eu uso o ; na injecao. Alguem saberia me dizer mais detalhes disto ?preciso corrigir falhas mas nao estou conseguindo nem executar.Obrigado..

[Mário Monteiro 179]

como você esta tentando fazer??o ; indica o fim da sql...

[bimpercursso 0]

Estou usando um exemplo é essa...' ; select * from tabelamas da esse erro.... você pode me ajudar com o sql injection...???

[Marcelo Barcellos 0]

Dá uma olhada nisso

 

http://forum.brclube.net/index.php?showtopic=2387

[Salgado 4]

Para terminar um Bloco de instrução SQL use "--" (dois traços) o ";" indica que é o final de toda instrução.

[Mário Monteiro 179]

este artigo do iporto eh muito bom já tinha visto no WMO...\\ Caraca devo estar doente postei 80 vezes hoje...

[explore 3]

\\ Caraca devo estar doente postei 80 vezes hoje...

<{POST_SNAPBACK}>

kkkkkkkkkkkkkkk...essa foi boa!!!!!!!!!

[bimpercursso 0]

Entao, testei varios desses ai mas nao esta dando certo ele da o erro :Microsoft JET Database Engine error '80040e14'Characters found after end of SQL statement.alguem pode me ajudar com o select ... por favor...

[bimpercursso 0]

pow pessao, to precisando mesmo disso, vcs nao podem me ajudar nisso, to precisando mesmo......

[Salgado 4]

Esse cara não tá bem intencionado hehehehehe.

 

Diga exatamente o que você está tentando fazer, e tb não feche com ";" a "sua" SQL.

[bimpercursso 0]

Entao Salgado, não estou mal intensionado não, faço cursos de programação e estou realmento interessado em segurança, no entanto nao estou tentando testar nos sites por ai e sim no meu, entao vendo com tudo isso de falhas de SQL Injection resolvi me aprofundar mais no assunto, mas a maioria das pessoas acham que já é mal intensionado, e nao é verdade...estoutestando varias querys mas etodas elas dao um erro quaando coloco o ";"erro:Microsoft JET Database Engine error '80040e14'Characters found after end of SQL statement.nao sei o pq, nao consigo executar nada disso por causa do ;uma curiosidado, isso funciona em access né?se você puder me ajudar nos estudos agradeço, ja li varios artigos, mas ao colocar o ; sempre da o mesmo erro..Obrigado..

[Salgado 4]

Quanto ao "mal intencionado" foi só uma brincadeira mesmo.

 

Não coloque o ";" na SQL que está querendo Injetar, isso irá sempre causar erro, pois não pode haver mais nada depois dela.

 

SQLInjection "funciona" em qualquer base que use SQL, access, SQLServer, MySQL, InterBase, etc...

 

Apostila

[bimpercursso 0]

Salgado, tirei o ";" mas da um outro erro aqui comigo,Microsoft JET Database Engine error '80040e14' Syntax error. in query expression 'Usuario='' select * from tabela' And Senha='xxxx''. /a/default.asp, line 16 será que o problema é com a minha syntax ou eu que estou escrevendo besteira, você poderia escrever a sintexe correta aqui.Obrigado.

[Salgado 4]

Vamos lá então, SQL Injection é assim, com calma mesmo. Veja que já saimos de um erro que não nos mostrava nada e agora temos os nomes de 2 campos do BD que estamos tentando Injetar algo.

 

É com base em telas de erro que você deve trabalhar, no post anterior eu editei e coloquei um link para uma apostila, dê uma olhadinha nela depois.

 

Normalmente não se faz um Select, pois na maioria das vezes as páginas ASP não estão preparadas para exibir o resultado para nós, assim no mole.

[bimpercursso 0]

Bom salgado vou dar uma lida no seu artigo e posto depois aqui algumas duvidas ctiver..Obrigado pela ajuda...