| From: | Jairo Graterón <jgrateron(at)gmail(dot)com> |
|---|---|
| To: | Lista PostgreSQL <pgsql-es-ayuda(at)postgresql(dot)org> |
| Subject: | Inyección SQL |
| Date: | 2023-03-30 18:24:17 |
| Message-ID: | CALnU-rMOabB+dUf0pvzFhbdBk0hK=c1QwKMStWWkcVZETHLi0Q@mail.gmail.com |
| Views: | Whole Thread | Raw Message | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
Muy interesante esta técnica para hacer un SQL Injection cuando no está
protegido el SORT
https://blog.munsiwoo.kr/2023/03/blind-postgresql-injection-in-dapp-interface-20000-bounty/
Hice mi propio script para hacer lo mismo pero en JS y adivina un campo de
la BD por minuto.
[image: image.png]
Eso es lento pero sabemos que los hackers tienen paciencia y tiempo.
Bueno a revisar los sistemas para que el sort no sea manipulable por el
usuario.
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Fernando Monjes | 2023-04-11 18:52:40 | Problema de replica lógica entre postgres |
| Previous Message | Jose Mercedes Venegas Acevedo | 2023-03-29 19:15:00 | Re: índice en campo de tipo tabla |