RSS

Tag Archives: sql injection

AVE.CMS <= 2.09 – Remote Blind SQL Injection Exploit


The AVE.CMS versions less than 2.09 suffer from a remote blind SQL injection vulnerability in the “module” parameter. AVE.CMS is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data before using it in an SQL query.

Exploiting this issue could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database.

Read the rest of this entry »

 
1 Comment

Posted by on May 26, 2013 in Exploits

 

Tags: , , , ,

“From SQL injection to shell” exercise – My sqli2shell tool.

PentesterLab is an easy and great way to learn penetration testing. PentesterLab provides vulnerable systems that can be used to test and understand vulnerabilities.

Read the rest of this entry »

 
Leave a comment

Posted by on September 10, 2012 in Capture The Flag

 

Tags: , , ,

SQL injection στα… τυφλά!

Στα προηγούμενα άρθρα, ασχοληθήκαμε με τυπικές -και αρκετά απλές- επιθέσεις SQL injection. Καιρός να μπούμε πλέον, σε λίγο πιο βαθιά νερά!

Όπως θα θυμάστε απ’ όσα είχαμε αναφέρει, κατά τη διάρκεια μίας τυπικής (κυρίως error–based) επίθεσης SQL injection, συνήθως δοκιμάζουμε κάποιες λίγο–πολύ «κλασικές» εντολές SQL στον server που έχουμε ως στόχο. Στην περίπτωση που ο server, μετά τις δοκιμές μας, ανταποκριθεί «θετικά», δηλαδή, εμφανίσει κάποιο μήνυμα λάθους (ή γενικότερα συμπεριφερθεί κάπως μη αναμενόμενα), τότε υπάρχει μεγάλη πιθανότητα να είναι ευπαθής σε SQL injection.

Read the rest of this entry »

 
1 Comment

Posted by on January 16, 2012 in It's Greek to Me

 

Tags: , ,

Η πονεμένη ιστορία ενος.. e-shop.

Ομολογουμένως, ήταν αρκετά δύσκολο να ετοιμαστεί ένα ακόμα τεχνικό άρθρο και μάλιστα μέσα στο καλοκαίρι. Έτσι σκέφτηκα, να ελαφρύνω λίγο την ατμόσφαιρα και να σας αφηγηθώ μια πραγματική ιστορία. Σε αυτό το άρθρο θα σας αφηγηθώ μια πραγματική ιστορία δύο φίλων, ενός e-shop και …ενός πολύ σοβαρού κενού ασφαλείας.

Read the rest of this entry »

 
Leave a comment

Posted by on December 5, 2011 in It's Greek to Me

 

Tags: ,

SQL Injection: Δημιουργώντας τα δικά μας προγράμματα !

Σε προηγούμενο άρθρο, ασχοληθήκαμε με μια τυπική επίθεση SQL injection απέναντι σε μια σελίδα (http://testasp.vulnweb.com/) που είναι ειδικά κατασκευασμένη για τέτοιου είδους ελέγχους ασφαλείας. Ελπίζουμε να κατανοήσατε τον τρόπο με τον οποίο εργαστήκαμε γιατί σε αυτό το τεύχος θα προσπαθήσουμε να αυτοματοποιήσουμε τη διαδικασία που σας περιγράψαμε στο προηγούμενο, γράφοντας μερικά δικά μας κομμάτια από κώδικα, σε perl.

Read the rest of this entry »

 
Leave a comment

Posted by on August 24, 2011 in It's Greek to Me

 

Tags: ,

Automated (MSSQL) -error based- SQL injection attack tool v.0.1


Automated (MSSQL) -error based- SQL injection attack tool v.0.1, is a tool that automates the process of detecting / exploiting SQL injection flaws (MSSQL) and taking over of database servers…

Read the rest of this entry »

 
Leave a comment

Posted by on August 24, 2011 in Scripts

 

Tags: , ,

SQL Injection: Η διασημότερη επίθεση απέναντι σε web εφαρμογές.

Οι βάσεις δεδομένων σήμερα, θεωρούνται ένα απ’ τα δυνατότερα χαρτιά των υπολογιστικών συστημάτων. Μπορούμε μέσα σε αυτές να αποθηκεύουμε, τεράστιο όγκο δεδομένων και πληροφοριών, σχετικά με οτιδήποτε μπορεί να φανταστεί κανείς, όπως για παράδειγμα στοιχεία τραπεζικών λογαριασμών,αριθμούς πιστωτικών καρτών, μισθολόγια, βαθμολογίες καθώς και αρκετά άλλα ευαίσθητα προσωπικά δεδομένα. Η πρόσβαση σε μια βάση δεδομένων μπορεί να επιτευχθεί με τη χρήση της γλώσσας SQL.

Read the rest of this entry »

 
Leave a comment

Posted by on August 24, 2011 in It's Greek to Me

 

Tags: