Inyección sql divertida— bypass mod_security

En este escrito me gustaría enseñarles un caso algo peculiar con el que me encontré testeando un sitio web.

Se trata de una inyección sql en donde pude bypassear el waf “mod_security”.

Al iniciar el el testeo de inyección sql me doy cuenta que el sitio web esta usando ese waf.

nos aparece el error al usar un simple:

site/ejemplo?parameter=-1+union+selec+1,2,3,4,5,6,7+--+

Ahora, no les voy a mentir, con el simple hecho de codificar el payload con…

--

--

--

Hola, Bienvenido a mi perfil de Medium! Soy Y000! 😊 ¿Quién soy? 🤔 Bueno… soy yo jaja soy solo un apasionado por la seguridad informatica.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
_Y000_

_Y000_

Hola, Bienvenido a mi perfil de Medium! Soy Y000! 😊 ¿Quién soy? 🤔 Bueno… soy yo jaja soy solo un apasionado por la seguridad informatica.

More from Medium

My write-up in hacking IBM’s administration panel and getting SQLi on it

How to use in-built docker tools for reconnaissance

ALL Labs: Server-side request forgery | WalkThrough

What is an IDOR Vulnerability?