Ayuda en Pruebas de Seguridad
Buenos días,
Espero que me puedas ayudar: Tengo que realizar pruebas XSS, inyección SQL y desbordamiento de Buffer; he leído un poco, pero veo que no es tan fácil. Tengo pensado en XSS hacer pruebas tipo -1, ingresando código html y javascript para verificar que existan filtros en cada campo de ingreso. Me gustaría hacer pruebas de tipo -0 y tipo -3, pero realmente no se como hacerlo. Es por eso que rencurro aquí para que me puedas ayudar con tu conocimiento. Además, también si es posible que me digas como hacer inyección SQL, que según tengo entendido también lo haría mediante campos de búsqueda en donde ingreso el código sql; pero mi pregunta es... Como conozco los nombres de las tablas que quisiera modificar, eliminar, ¿o realizar inserciones?. ¿Cómo hago desbordamiento de Buffer?, ¿Simplemente intento ingresar más datos de los que puede recibir una variable?
Gracias
Nota: si conoces alguna página que explique en detalle te agradecería que me pasaras el link.
Espero que me puedas ayudar: Tengo que realizar pruebas XSS, inyección SQL y desbordamiento de Buffer; he leído un poco, pero veo que no es tan fácil. Tengo pensado en XSS hacer pruebas tipo -1, ingresando código html y javascript para verificar que existan filtros en cada campo de ingreso. Me gustaría hacer pruebas de tipo -0 y tipo -3, pero realmente no se como hacerlo. Es por eso que rencurro aquí para que me puedas ayudar con tu conocimiento. Además, también si es posible que me digas como hacer inyección SQL, que según tengo entendido también lo haría mediante campos de búsqueda en donde ingreso el código sql; pero mi pregunta es... Como conozco los nombres de las tablas que quisiera modificar, eliminar, ¿o realizar inserciones?. ¿Cómo hago desbordamiento de Buffer?, ¿Simplemente intento ingresar más datos de los que puede recibir una variable?
Gracias
Nota: si conoces alguna página que explique en detalle te agradecería que me pasaras el link.
1 Respuesta
Respuesta de fd0xh
1
Perdón por la tardanza, el desbordamiento de buffer es una técnica en el cual primero estudias una cadena que el cliente envía al servidor y tomas su estructura (tamaño, caracteres válidos y demás) y después mandas esa misma cadena alterada en algún aspecto, para testear el comportamiento del sistema, es algo laborioso pero parece que ya estas un poco documentado en el tema. A si que solo tendrías que esniffear un poco, y empezar a hacer pruebas.
O quizás no entendí el punto al que te referías, de ser así espero tu respuesta.
O quizás no entendí el punto al que te referías, de ser así espero tu respuesta.
