Seguimos con la sexta parte de sql injection(sqli), esta vez, con fingerprinting database;
El lenguaje SQL es estandar, pero cada vez mas DBMS(sistema de gestion de base de datos) tienen su diferencia, como, comandos especiales, funciones para recuperar datos como nombres de usuario y base de datos, linea de comentarios, etc.
Cuando los testeadores se mueven para una injeccion sql mas avanzada, necesitan saber que gestor de base de datos se usa;
La primera manera de averiguar que gestor de base de datos se utiliza es observando el error devuelto por la aplicacion. Los ssiguientes son algunos ejemplos de mensajes de error;
Usando UNION SELECT con VERSION () tambien puede ayudar a conocer el gestor de base de datos;
2- si no hay un mensaje de error, el testeador puede intentar inyectar en los campos utilizando diversas tecnicas de concatenacion;
PD: Parte numero 7, Exploitation Techniques
No hay comentarios.:
Publicar un comentario