Todos sabemos que Mr. Google es una herramienta fabulosa, y que todos los dias lo usamos para realizar busquedas de cualquier tipo. En este caso la busqueda es algo rebuscada, por asi decirlo, la cuestion es que colocando una dork, con un cadena de texto con sentencias SQL podemos obetener SQLi ya provocadas por otras personas.
La cuestion es que si lo que hace Google esta bien, ¿por que no ponen una restrincion a bug como ser SQL, XSS, RFI, LFI etc.. etc...?
Pero Google no se puede hacer cargo de lo que pasa a cada web del mundo, los que se deberian hacerse cargo son los Webmaster de sus propias paginas, para mas hay mucha informacion en la web de como sanear una consulta SQL para no caer en un SQL INJECTION.
Busqueda
La busqueda se realiza con ayuda de Hacking Google de una forma sensilla:
inurl:UNION SELECT 1,2 site:com.ar
Con esta busqueda lo que hacemos es decir a Google que nos de la web que tengan la cadena "UNION SELECT 1,2" en su URL pero que tambien nos filtre los sitios argentinos "com.ar" :).
Obetenmos algo como esto.
Bueno creo que a todos nos va a llamar la atención de la Web de Jesica.. creo que ya se quien pudo haber hecho la Inyecion.
Vamos al enlace, y vemos que tenemos el usuario y el password cifrado) y por lo visto algo fuertes, probé algunos diccionarios y nada, el que pueda crackearlo que ponga en comentarios si quiere ;).
Vamos al enlace, y vemos que tenemos el usuario y el password cifrado) y por lo visto algo fuertes, probé algunos diccionarios y nada, el que pueda crackearlo que ponga en comentarios si quiere ;).
Ahora también se puede ver otra cosa. Hay una seccion que es PREMIUM ;)...
En fin eso los dejo para que el que quiere investigar, tampoco se puede regalar las cosas tan fáciles no, para eso ya está Google con su indexación ja..
Saludos!
En fin eso los dejo para que el que quiere investigar, tampoco se puede regalar las cosas tan fáciles no, para eso ya está Google con su indexación ja..
Saludos!
sencilla
ResponderEliminar