Escolar Documentos
Profissional Documentos
Cultura Documentos
URL Afetada:
http://www.faculdadeidez.com.br/inscricoes/solicitacao.php
Demonstrao:
No formulrio acima solicitado o CPF da pessoa que fez a inscrio na PS. Quando
fornecemos o CPF e clicamos no boto OK, somos direcionados para uma pgina onde o boleto
ser impresso.
No campo foi colocada uma mscara em javascript para aceitar s nmeros. Ou seja, letras e
outros caracteres no so aceitos. Entretanto podemos no Chrome editar o HTML apresentado
para ns clicando com o boto direito no elemento e clicando em inspecionar elemento,
conforme a figura abaixo.
Abre-se uma nova janela conforme abaixo. Nela removemos as declaraes onKeyUp e
Maxlength. A primeira para retirar o javascript, a segunda para no limitar o tamanho do
campo.
Para realizar login na biblioteca necessrio digitar a matrcula e a senha passada para o
aluno. Peguemos o seguinte nmero de matrcula aleatrio: 20101007050.
J no campo senha podemos digitar uma conhecida string de SQL Injection conforme abaixo:
' or 1 = '1
Com isso conseguimos login no sistema bastando saber a matrcula de qualquer aluno.