Lab: SQL injection vulnerability in WHERE clause allowing retrieval of hidden data

Este laboratorio llamado «SQL injection» ,se encuentra dentro del listado de laboratorios de la plataforma de Portswigger Web Security Academy dentro de la vulnerabilidad SQL injection.

Se encuentra dentro de la categoría «Apprentice» (fácil) de los 3 niveles que ofrece la plataforma.

Este laboratorio contiene una vulnerabilidad de SQL injection a la hora de ejecutarse una url categorizada por filtros de categorías.

La vulnerabilidad pasa por incluir un comando SQL alterante la url de la petición por Burpsuite para que la base de datos te de el nombre de un producto que aún no se ha lanzado.

Cuando encuentras el laboratorio en el listado de «All Labs», simplemente tendrás que acceder al laboratorio y directamente te abre y ejecuta una nueva ventana en el navegador, por lo que no tienes que conectarte mediante VPN a sus máquinas.

Dentro de la página encuentras un listado de productos.

Lo que hay que hacer es activar el Foxy Proxy del navegador, ir a Burp Suite e interceptar la petición clicando sobre una categoría.

Automáticamente se te abrirá la petición en Burp Suite:

Ahora le incluimos el siguiente comando SQL= ‘+OR+1=1– sustituyéndolo por el nombre de la categoría.

Esta técnica se usa para manipular una consulta SQL de forma que permita a un atacante acceder a información no autorizada en la base de datos.

A continuación, sobre esa petición GET con el nuevo comando SQL, le mandamos al Repeater con el botón derecho, y ya podemos ver todos los productos en la página, tanto los no lanzados como los lanzados.

Otros posts relacionados