La inyección SQL funciona contra sitios perezosos que codifican el acceso a la base de datos en la página web. Por ejemplo, la página web dice algo así como “action = http: //database.example.com? Price + where + item = bun”
y un hacker hace su propia consulta que dice “action = http: //database.example.com? pass …
O bien, el sitio no desinfecta la entrada correctamente y el hacker puede preguntar el precio de “bun; show + password + where + user = admin”
La secuencia de comandos entre sitios es un nombre inapropiado, es realmente una secuencia de comandos dentro del sitio. Suponga que hay una página example.com/storefront donde puede comprar cosas, y hay otra página en el mismo sitio example.com/userforum. Si userforum permite que las personas publiquen comentarios que incluyen un script (o algo que no se escapará a un script), entonces el navegador permite que ese script interactúe con / storefront porque ambos están en el mismo dominio. Si una víctima tiene ambas páginas abiertas a la vez, el script puede leer los valores de la página de la tienda (nombres de inicio de sesión, números de pedido) y pasar la información a un sitio de terceros mediante una solicitud web. También puede escribir en valores de formulario, por lo que en algunos casos podría volver a escribir un precio de artículo o una entrada de cupón y permitir que un atacante obtenga productos de forma gratuita.
- ¿Qué tan caro es un ataque DDoS?
- Hackeado inalámbrico: ¿Es posible que alguien acceda a su red inalámbrica?
- ¿Pink Floyd hizo que The Dark Side of the Moon fuera especialmente fluido con escenas de The Wizard of Oz?
- ¿Qué métodos se utilizan para contrarrestar un ataque de contraseña de fuerza bruta?
- ¿Qué habilidades necesito para aprender a ser un hacker informático?