Discussion :

[Titi41]

Bonjour

J'ai un TP a faire autour des injections SQL.

Mon probleme, c'est que je n'arrive pas a voir ou faire l'injection...

Dans les text box ou text area, ca semble protege. En ajoutant des ' ou des ", ca ne fait pas planter la base de donnees.

Lorsque je modifie le parametre dans la barre d'adresse, ca avance.
http://ws2008.lbs/webappsec/Details.aspx?request=5 OR 1=1
Cette adresse me permet de voir tous les items.

Mais si je suis les tutoriels, je n'obitens jamais d'erreurs detaillees, ce qui me permettrait d'avancer...
http://ws2008.lbs/webappsec/Details....ing%201=1%20--
Me donne cette erreur:
Incorrect syntax near the keyword 'having'.

Est-ce que je fais l'injection au bon endroit?
Est-ce qu'il est possible de modifier les messages d'erreur?

Merci d'avance
Romain

[kaiser59]

Salut,

Si tu utilises une base Access essaye ça dans ton formulaire :

Login : '=''
mdp : '=''

tu verras ce que cela donne

[Titi41]

On utilise une base MS SQL

[Titi41]

Problème résolu

Le problème venait de la requete. Elle ne pouvait pas etre executée, il manquait une paranthèse -_-'