NOTA: Esta vulnerabilidad ya ha sido informada y corregida en una actualización a este sistema
Existe un programa desarrollado por el servicio de impuestos internos de mi país (Bolivia), el cual es distribuido gratuitamente por la web, ocurre que hoy tratando de ingresar a su interfaz pues no sabía que usuario ingresar, supongo que es la falta de interés por leer los manuales y explicaciones del mismo sitio,
o.0, jeje en fin, como no sabia como entrar pues intenté ingresar "por la fuerza", haciendo un poquito de SQL Injection en el nombre de usuario y password con el siguiente texto:
' or 1=1 --
(este es la clásica sentencia de entrada para hacer una inyección)
pero solo me salía este curioso mensaje: TYPE MISMATCH IN EXPRESSION '(- ' AND PASSWORD = ' OR 1=1--')'. , mmmmm curioso no?
¿por que no intentar con algo mas interesante?
yyyy pues bien a darle con : 'or''=' y listo!
pues ahora el usuario 'or''=' entra tranquilamente al programa.
Pues tampoco pude hacer gran cosa ahi, pero si una recomendación al equipo de programación del DaVinci, que por cierto está bastante bueno.
Wednesday, October 18, 2006
Mi primer entrada
Hola a todos, esta es mi primer entrada.
La verdad es que no tengo planeado el tipo de contenido que va a ir en esta página, pero supongo que habrá una mezcolanza de tooodo lo que se me ocurra ponerle desde cosas como líneas de libros maravillosos como Llave de Oro o Arpas Eternas de Josefa Rosalía Luque hasta datos de código fuente del desarrollo que llevo a cabo en mis actividades en .net y artículos acerca de esto, jeje supongo que será interesante.
pues bien a empezar.
La verdad es que no tengo planeado el tipo de contenido que va a ir en esta página, pero supongo que habrá una mezcolanza de tooodo lo que se me ocurra ponerle desde cosas como líneas de libros maravillosos como Llave de Oro o Arpas Eternas de Josefa Rosalía Luque hasta datos de código fuente del desarrollo que llevo a cabo en mis actividades en .net y artículos acerca de esto, jeje supongo que será interesante.
pues bien a empezar.
Subscribe to:
Posts (Atom)