3
respostas

Validação da quantidade de caracteres do usuário

Referente ao curso Segurança Web: vulnerabilidades do seu sistema e OWASP, no capítulo SQL Injection e atividade Order By

por Romulo Ribeiro Pereira
| 70.3k xp | 3 posts

Quando tentei executar o código:

admin' order by 1,2 --

Esbarrei em 2 problemas: Primeiro, a quantidade máxima de caracteres no input estava para no máximo 20, quantidade essa que o comando ultrapassa. Resolvi fácil alterando o código fonte da página no maxlength.

Segundo, recebi como feedback a seguinte mensagem:

Username too long. We dont want to allow too many characters.

Someone might have enough room to enter a hack attempt.

Creio que a versão que baixei da vm tem alguma atualização que não consta nos vídeos. Como proceder?

3 respostas
por Rafael Silva Nercessian
| 1047.7k xp | 1530 posts
Instrutor

Olá Romulo,

Só para confirmar, você clicou no link OWASP 2013 -> A1 - Injection (SQL) -> SQLi Extract Data -> User Info (SQL).?

Depois disso, no campo Name tente colocar:

admin' order by 1,2 --[espaço]
por Romulo Ribeiro Pereira
| 70.3k xp | 3 posts

Exatamente.

por Rafael Silva Nercessian
| 1047.7k xp | 1530 posts
Instrutor

Olá Romulo,

Tentei recriar esse cenário, porém não consegui replicar o mesmo erro, você chegou a fazer o download do servidor nesse link? https://drive.google.com/open?id=0BzmYQVmw4W7nSnh6S1QteEpaMTA

Você conseguiu resolver?

Abs

Quer mergulhar em tecnologia e aprendizagem?

Receba a newsletter que o nosso CEO escreve pessoalmente, com insights do mercado de trabalho, ciência e desenvolvimento de software