MÓDULO
Hardening del portal MRO: SQLi, JWT, MFA
Tecnología: F16-MRO · F-16 Block 70 / PeruSat-1 / TPS-77 MMR
⚡ BRIEFING TÁCTICO
El portal MRO Sniper XR ATP tiene una vulnerabilidad de SQL Injection en el módulo de autenticación. Identifica la línea vulnerable.
EJERCICIO · AUDITORÍA DE CÓDIGO
Encuentra la inyección SQL en el portal MRO
Haz clic en la(s) línea(s) problemáticas
JAVASCRIPTHIGHclick to select line
1app.post(class="str">'/login', async (req, res) => {
2 const { username, password } = req.body;
3 const query = `SELECT * FROM users WHERE user=class="str">'${username}' AND pwd=class="str">'${password}'`;
4 const safeQuery = class="str">'SELECT * FROM users WHERE user=? AND pwd=?';
5 const result = await db.query(safeQuery, [username, password]);
6 const user = await db.query(query);
7 if (user.rows.length > 0) res.json({ token: generateJWT(user) });
✅ MISIÓN CUMPLIDA — Flag Desbloqueada
Análisis correcto. Captura la flag del módulo:
QM{ASEG_2_08_MRO_SQLI_JWT}
Clic para copiar
❌ Incorrecto — Revisa el material del módulo