Como han quitado el reto no me acuerdo muy bien de algunas pruebas pero algunas soluciones serían: Nivel 1-A Había que saltarse la siguiente expresión regular: ^\-(?=.*d)(?=.*[a-z])(?=.*[A-Z]).{6,} Una posible solución es: -o=o o=oo o=oO66 Para resolverlo yo cogí y lo dividí en 3 apartados (en una copia en local) y fui saltando uno a uno los filtros: (?=.*d) -> se pasa con o=0 (?=.*[a-z]) -> se pasa con o=00 (?=.*[A-Z]).{6,} -> se pasa con o=oO66 Esta es una posible solución, pero hay muchísimas. Nivel 1-B Editando el fuente de la página vemos al final un comentario con un texto en
Sigue leyendoEtiqueta: SQL Injection
Implementación y explotación de Servicios Web
Índice 1. Introducción 2. Montando una plataforma de pruebas. Requisitos 3. Creando una base de datos para pruebas 4. Creando el conector ODBC 5. Creando un servicio web para pruebas 6. Probando el servicio web en remoto 7. Creando un conector en perl 8. Explotando el servicio web
Sigue leyendoFallo de seguridad en Tuenti: SQL Injection que permite obtener datos de usuarios
Son numerosos los fallos que se han ido detectando en esta red social (no más de los que se encuentras en cualquier otra web del estilo). Normalmente son fallos de XSS pero esta vez he encontrado en la web de Tuenti la posibilidad de inyectar código SQL. Este enorme fallo de seguridad permite extraer datos confidenciales de usuarios (nombre, apellidos, mail, tfno, password en MD5, …) de manera que voy a escribir a los técnicos de Tuenti y a esperar que esté todo solucionado antes de publicarlo en el blog. … Ya he hablado con Ícaro Moyano, por cierto, una
Sigue leyendo