SQL injection - apostrof

HackForum

SQL injection - apostrof#
Zdravím,

provádím teď penetrační testy jedné staré webové aplikace, kterou používáme ve firmě. Ve zdrojácích jsem si všiml, že proti SQL injection je tam od externích vývojářů implementována ochrana na bázi nahrazení apostrofu prázdným řetězcem. Mně osobně to přijde jako nedostečná ochrana, ale nevím bohužel jak to prakticky demostrovat vedení.

Můžete mně prosím pomoci?

Jo a málem bych zapomněl - jedná se o aplikaci, která přes OLE DB přistupuje k DBF souborům. Rád se však přiučím třeba i v oblasti MS SQL serveru, který už používáme i nových aplikací...
(odpovědět)
PetrP | E-mail16.10.2011 9:41
re: SQL injection - apostrof#
takova "ochrana" lze samozrejme snadno obejit, viz nasledujici troji zapis jednoho a toho sameho:
'user' == char(117,115,101,114) == 0x75736572
(odpovědět)
Emkei | E-mail | Website | PGP16.10.2011 12:20
re: SQL injection - apostrof#
Díky za rychlou reakci, ale jak toho mohu využít v SQL dotazu typu:

SELECT * FROM uzivatele WHERE jmeno='<zadane uzivatelske jmeno>' AND heslo = '<zadane heslo>'
(odpovědět)
PetrP | E-mail16.10.2011 12:41
re: SQL injection - apostrof#
pokud tu promennou od uzivatele prohaneji jeste fci urldecode(), tak by to zneuzit slo, v opacnem pripade nikoliv.
(odpovědět)
Emkei | E-mail | Website | PGP16.10.2011 13:50

Zpět
 
 
 

 
BBCode