Comentarios en: Explotar XSS mediante SQL Injection http://blog.zerial.org/seguridad/explotar-xss-mediante-sql-injection/ Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio Thu, 09 Feb 2012 18:22:44 +0000 hourly 1 http://wordpress.org/?v=3.0 Por: beto http://blog.zerial.org/seguridad/explotar-xss-mediante-sql-injection/comment-page-1/#comment-87587 beto Sun, 26 Dec 2010 01:08:21 +0000 http://blog.zerial.org/?p=1479#comment-87587 hola que tal miren tengo un problema con un formulario aqui el codigo no me inserta dato en la base de datos. Formulario de Datos Nombre: Apellido Paterno: Apellido Materno: Sexo Masculino Femenino Estado o Ciudad: pero ademas me saca un erro el momento de sacar el formulario para la insercion es este: Problemas en el selectYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 2 hola que tal miren tengo un problema con un formulario aqui el codigo no me inserta dato en la base de datos.

Formulario de Datos

Nombre:

Apellido Paterno:

Apellido Materno:

Sexo
Masculino
Femenino

Estado o Ciudad:

pero ademas me saca un erro el momento de sacar el formulario para la insercion es este:
Problemas en el selectYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ” at line 2

]]> Por: d3m4s1@d0v1v0 http://blog.zerial.org/seguridad/explotar-xss-mediante-sql-injection/comment-page-1/#comment-76191 d3m4s1@d0v1v0 Sat, 30 Jan 2010 20:44:18 +0000 http://blog.zerial.org/?p=1479#comment-76191 Muy interesante, creo que en otro artículo habías dicho que usabas estos ataques a traves del error devuelto por el servidor. Realmente es muy feo que esté activado el debugging en los servidores cuando una página ya está en producción, esto no solo permite este tipo de ataques, sino que también facilita muchísimo la tarea de armar consultas SQL. La página que mostras como ejemplo dice de todo, q usa MySQL, que la tabla se llama inventory y q tiene un campo llamado id... no deja mucho para la imaginación =P Creo que esto complementa muy bien mi artículo, mostrando otra forma de ataque XSS a través de SQLi, gracias por compartirlo. Saludos! Muy interesante, creo que en otro artículo habías dicho que usabas estos ataques a traves del error devuelto por el servidor.
Realmente es muy feo que esté activado el debugging en los servidores cuando una página ya está en producción, esto no solo permite este tipo de ataques, sino que también facilita muchísimo la tarea de armar consultas SQL. La página que mostras como ejemplo dice de todo, q usa MySQL, que la tabla se llama inventory y q tiene un campo llamado id… no deja mucho para la imaginación =P

Creo que esto complementa muy bien mi artículo, mostrando otra forma de ataque XSS a través de SQLi, gracias por compartirlo.
Saludos!

]]>