jueves, 6 de junio de 2019

Fingerprinting the Database-Parte 6- SQL Injection

Seguimos con la sexta parte de sql injection(sqli), esta vez, con fingerprinting database; 

El lenguaje SQL es estandar, pero cada vez mas DBMS(sistema de gestion de base de datos) tienen su diferencia, como, comandos especiales, funciones para recuperar datos como nombres de usuario y base de datos, linea de comentarios, etc.

Cuando los testeadores se mueven para una injeccion sql mas avanzada, necesitan saber que gestor de base de datos se usa; 


La primera manera de averiguar que gestor de base de datos se utiliza es observando el error devuelto por la aplicacion. Los ssiguientes son algunos ejemplos de mensajes de error; 

Usando UNION SELECT con VERSION () tambien puede ayudar  a conocer el gestor de base de datos; 


2- si no hay un mensaje de error, el testeador puede intentar inyectar en los campos utilizando diversas tecnicas de concatenacion;


PD: Parte numero 7, Exploitation Techniques

No hay comentarios.:

Publicar un comentario