geezer.code
14.03.2009, 13:24
Эта тема появилась благодаря вот этому посту
https://forum.antichat.ru/showpost.php?p=1168547&postcount=5949
все видят инъекцию, а я не вижу.
была проведена небольшая проверка
FF2 - инъекция проходит
http://s51.radikal.ru/i131/0903/d0/6c1d3a0bb239t.jpg (http://radikal.ru/F/s51.radikal.ru/i131/0903/d0/6c1d3a0bb239.jpg.html)
Оpera 9.60 - инъекция проходит
http://s49.radikal.ru/i123/0903/52/83e0fd4f4495t.jpg (http://radikal.ru/F/s49.radikal.ru/i123/0903/52/83e0fd4f4495.jpg.html)
Chrome 2.0.157.2 - инъекция проходит
http://s49.radikal.ru/i126/0903/e5/78ccbdd4820dt.jpg (http://radikal.ru/F/s49.radikal.ru/i126/0903/e5/78ccbdd4820d.jpg.html)
IE7 - инъекция проходит
Safari 4 beta - инъекция проходит
и самое интересное:
Firefox 3.0.6(win) - инъекция НЕ проходит
http://s40.radikal.ru/i087/0903/34/c2aa2b4bd836t.jpg (http://radikal.ru/F/s40.radikal.ru/i087/0903/34/c2aa2b4bd836.jpg.html)
Firefox 3.0.1(Ubuntu linux) - инъекция НЕ проходит
На локальном сервере пробую запрос:
http://localhost/form2'.html?a='asdf'
лог запроса от FF3
"GET /form2%27.html?a=%27asdf%27 HTTP/1.1" 200 728
лог запроса от Opera
"GET /form2'.html?a='asdf' HTTP/1.1" 200 728
Вывод: ff3 производит URL-encode всего запроса перед отправкой на сервер.
может это и фича, но для проведения sqli - это баг.
Просьба ко всем у кого фф3 попробовать у себя, и отписать в теме если результаты будут оличаться от моих.
зы
спасибо jokester, за помощь в тестировании.
https://forum.antichat.ru/showpost.php?p=1168547&postcount=5949
все видят инъекцию, а я не вижу.
была проведена небольшая проверка
FF2 - инъекция проходит
http://s51.radikal.ru/i131/0903/d0/6c1d3a0bb239t.jpg (http://radikal.ru/F/s51.radikal.ru/i131/0903/d0/6c1d3a0bb239.jpg.html)
Оpera 9.60 - инъекция проходит
http://s49.radikal.ru/i123/0903/52/83e0fd4f4495t.jpg (http://radikal.ru/F/s49.radikal.ru/i123/0903/52/83e0fd4f4495.jpg.html)
Chrome 2.0.157.2 - инъекция проходит
http://s49.radikal.ru/i126/0903/e5/78ccbdd4820dt.jpg (http://radikal.ru/F/s49.radikal.ru/i126/0903/e5/78ccbdd4820d.jpg.html)
IE7 - инъекция проходит
Safari 4 beta - инъекция проходит
и самое интересное:
Firefox 3.0.6(win) - инъекция НЕ проходит
http://s40.radikal.ru/i087/0903/34/c2aa2b4bd836t.jpg (http://radikal.ru/F/s40.radikal.ru/i087/0903/34/c2aa2b4bd836.jpg.html)
Firefox 3.0.1(Ubuntu linux) - инъекция НЕ проходит
На локальном сервере пробую запрос:
http://localhost/form2'.html?a='asdf'
лог запроса от FF3
"GET /form2%27.html?a=%27asdf%27 HTTP/1.1" 200 728
лог запроса от Opera
"GET /form2'.html?a='asdf' HTTP/1.1" 200 728
Вывод: ff3 производит URL-encode всего запроса перед отправкой на сервер.
может это и фича, но для проведения sqli - это баг.
Просьба ко всем у кого фф3 попробовать у себя, и отписать в теме если результаты будут оличаться от моих.
зы
спасибо jokester, за помощь в тестировании.