mario.lopez+pass Cartel: usuario inexistente. mlopez+pass Cartel: usuario inexistente. ml+pass Cartel: usuario inexistente. mario+pass Cartel: usuario inexistente. mario lopez+pass Cartel: password erróneo.
Excelente. El usuario López, Mario, se loguea como mario lopez. Probé los passwords más comunes y no tuve que esperar mucho para dar con el correcto. Tuve la suerte de que el password era el nombre de pila, simplemente mario (la sorpresa fue aún mayor cuando comprobé que el 70% de los usuarios tenían por password su nombre de pila). Cuando supe el significado de mario, extraje el hash de Mario López:
‘ union select PWD,1,1,1 from APP_USUARIO WHERE FULL_NAME = ‘Lopez, Mario’ --
&H0A 03756D6E615672737138798A6164AEA F7AC8BB3690D 5674F3EE 4B9306A
Si este hash en realidad era el password “mario” cifrado, entonces la solución para lograr acceso administrativo (ya teníamos un acceso común de usuario por Mario López), era asignarle este hash al usuario Juan Pérez que es el administrador y así poder entrar con usuario administrador y password mario, al panel desde el acceso. Y con el siguiente código pude llevar a cabo la tarea: ‘ UPDATE APP_USUARIO SET PWD = ‘&H0A03756D6E615672737138798A6164AEA F7AC8BB3690D5674F3EE4B9306A’ WHERE FULL_NAME = ‘Juan, Perez’ --
Fui al login de acceso, coloqué juan perez como usuario, mario como password y accedí al panel de administrador con todos los ítems funcionales del sistema, da-
Soluciones a SQL Injection
Si queremos encontrar soluciones para mitigar el SQL Injection, podemos visitar: http://informatica-practica.net/solocodigo/index.php/2007/09/06/evitar-inyeccion-sql-ii, http://pear.php.net/package/DB, http://msdn.microsoft.com/msdnmag/issues/06/11/sqlsecurity/default.aspx?loc=es y www.dotnetpuebla.com/portal/Publicaciones/Articulos/848.aspx. 186