SFX SQLi : Extracción rápida de información utilizando inyección SQL con instrucciones XML

Abstract

Resumen. A medida que los gestores de bases de datos van evolucionando con nuevas versiones dotadas de mayor funcionalidad, van apareciendo nuevos métodos de ataque que aprovechan estas capacidades. Este documento detalla un método para extraer toda la información de una base de datos de Microsoft SQL Server utilizando una técnica muy eficiente basada en el uso de la cláusula FOR XML, de la cual se presenta una herramienta que la implementa. Tomado del texto original Fecha de reseña: 10/12/2016