Vulnerabilies report file:///home/gustavo/generated_report/index.

html

Vulnerabilities report -- Wapiti

Summary

Manejo Cross Ejecución Consumo Fichero

Inyección Bypass Fichero
Inyección de Site CRLF de de de
ciega Htaccess potencialmente
SQL (1) archivos Scripting (5) comandos recursos backup
SQL (2) (8) peligroso (10)
(3) (4) (6) (7) (9)
High 0 3 0 1 0 0 0 0 0 0
Medium 0 0 0 0 0 0 0 0 0 0
Low 0 0 0 0 0 0 0 0 0 0

Attacks details
INYECCIÓN SQL
No vulnerabilities found
INYECCIÓN CIEGA SQL

La inyección SQL ciega es una técnica que explota una vulnerabilidad que ocurre en la base de datos de una
Description: aplicación. Este tipo de vulnerabilidad es más difícil de detectar que la inyección SQL normal porque no muestra
mensajes de error en la página web.
Para protegerse contra las inyecciones SQL, las entradas de información que el usuario introduce en la aplicación
Solution: no deben ser directamente colocadas en sentencias SQL. En vez de eso, las entradas deben ser limipiadas,
filtradas o bien se deben usar sentencias parametrizadas.
http://www.imperva.com/resources/adc/blind_sql_server_injection.html
References: http://www.owasp.org/index.php/Blind_SQL_Injection

Risk Level High

Url http://127.0.0.1/roraima/verificar.php
Parameter clave=hcs7jgmzm2&usuario=%22+or+sleep%287%29%23
Info Inyección ciega SQL viniendo de http://127.0.0.1/roraima/

Risk Level High

Url http://127.0.0.1/roraima/preguntas.php
Parameter usuario=%22+or+sleep%287%29%23
Info Inyección ciega SQL viniendo de http://127.0.0.1/roraima/recordar.php

Risk Level High

Url http://127.0.0.1/roraima/cambiar.php
Parameter id_usuario=sleep%287%29%23&pregunta=94colmxpt8&respuesta=u11iutx34z
Info Inyección ciega SQL viniendo de http://127.0.0.1/roraima/preguntas.php

MANEJO DE ARCHIVOS
No vulnerabilities found
CROSS SITE SCRIPTING

Cross-site scripting (XSS) es un tipo de vulnerabilidad que se encuentra en aplicaciones web que permite la
Description:

1 de 2 20/07/15 14:25
Vulnerabilies report file:///home/gustavo/generated_report/index.html

inyección de código por usuarios maliciosos dentro de las páginas vistas por otros usuarios. Normalmente el
código inyectado suele ser HTML y lenguajes del lado cliente, como JavaScript.
La mejor forma de proteger una aplicación web de los ataques XSS es asegurarse de que la aplicacion realiza
validaciones sobre todas las cabeceras, cookies, query strings, campos de formularios y campos ocultos. La
codificación de los datos proporcionados por el usuario en el servidor puede servir para defenderse de
Solution:
vulnerabilidades XSS mediante la prevencion de inserción de script transmitidos por los usuarios desde
formularios. Las aplicaciones estarán mejor protegidas de los ataques basados en JavaScript mediante la
conversión apropiada codificación en HTML de los siguientes caracteres: <, >, &, ", ', (, ), #, %, ; , +, -
http://en.wikipedia.org/wiki/Cross-site_scripting
References: http://www.owasp.org/index.php/Cross_Site_Scripting

Risk Level High

Url http://127.0.0.1/roraima/cambiar.php
id_usuario=%3Cscript%3Ealert%28%27lepa4lb5r0%27%29%3C%2Fscript%3E&pregunta=on&
Parameter
respuesta=on
Info XSS (id_usuario)

CRLF
No vulnerabilities found
EJECUCIÓN DE COMANDOS
No vulnerabilities found
CONSUMO DE RECURSOS
No vulnerabilities found
BYPASS HTACCESS
No vulnerabilities found
FICHERO DE BACKUP
No vulnerabilities found
FICHERO POTENCIALMENTE PELIGROSO
No vulnerabilities found

This report has been generated by Wapiti Web Application Scanner

2008 Wapiti and Romulus project

2 de 2 20/07/15 14:25