Добрый день! Я совсем новичок, ничего не понимаю во взломе, но люблю играться с адресной строкой на известных сайтах. Иногда меняю параметры HTTP запросов, чтобы найти какие-то фичи.

Например на hh.ru, если поменять стандартную ссылку переговоров с работодателем

https://hh.ru/applicant/negotiations/item?topicId=5343423134

на

https://hh.ru/applicant/negotiations/item?topicId=-1 (любое отрицательное значение, после "="), то выдаст ошибку "Что-то пошло не так";


Если же после "=" писать любые другие числа или текст, будет выдавать стандартную ошибку 404

Кто-нибудь может объяснить почему так происходит и является ли это уязвимостью? Можно ли что-то таким образом найти? Я просто совсем ничего не понимаю в программировании и хакинге и не знаю другого способа взаимодействия с сервером кроме как через адресную строку.

Есть ли какая-нибудь подробная литература по GET и POST запросам? С чего мне начать? Хочу искать уязвимости.

че ни ответа ни привета, сдулись все хакеры штоль?

Denis25 said:
↑ (https://antichat.live/posts/4241412/)
че ни ответа ни привета, сдулись все хакеры штоль?


Начните с этого.

https://habr.com/company/simplepay/blog/258499/

RWD said:
↑ (https://antichat.live/posts/4241418/)
Начните с этого.
https://habr.com/company/simplepay/blog/258499/


Начал, описание понятное, но как это делать самому? есть мануал с пошаговой инструкцией?

где вы, милые хакеры?

скорее всего тебе поможет только гугл, а для начала отличный топик с ключевыми словами уже скинули

Дак почти все есть на данном форуме, он думает ему тут все на полочке разложат)

Если человек не ориентируется на форуме, то в хакинге и пентесте ему делать нечего.

salamond said:
↑ (https://antichat.live/posts/4243945/)
Потому что ошибка 500 ошибка базы данных
http://prntscr.com/ktlcwg


А ее можно использовать как-то для взлома?

salamond said:
↑ (https://antichat.live/posts/4244286/)
В каком смысле?


Ну вообще извлечь пользу из этой ошибки. Я в этом не разбираюсь

ТС, почему бы вам не пойти на курсы по программированию, толку больше будет) Начнете хоть основные понятия понимать)

Irina Belova said:
↑ (https://antichat.live/posts/4244328/)
ТС, почему бы вам не пойти на курсы по программированию, толку больше будет) Начнете хоть основные понятия понимать)


Зачем мне тратить деньги на курсы, когда все что говорят на курсах есть в интернете. Просто хочу, чтобы ссылки на литературу скинули. Я так и не нашел нормальный объем литературы по http запросам.

Denis25 said:
↑ (https://antichat.live/posts/4244330/)
Зачем мне тратить деньги на курсы, когда все что говорят на курсах есть в интернете. Просто хочу, чтобы ссылки на литературу скинули. Я так и не нашел нормальный объем литературы по http запросам.


затем, что грамотные курсы первым делом научат вас гуглить информацию

это ключевой навык(наряду со знанием английского)

а дальше все ваши вопросы сойдут на нет

dmax0fw said:
↑ (https://antichat.live/posts/4244564/)
затем, что грамотные курсы первым делом научат вас гуглить информацию
это ключевой навык(наряду со знанием английского)
а дальше все ваши вопросы сойдут на нет


А зачем тогда этот форум нужен, если все "умеют гуглить информацию".

Denis25 said:
↑ (https://antichat.live/posts/4242618/)
где вы, милые хакеры?


там где тебя нет

Denis25 said:
↑ (https://antichat.live/posts/4244734/)
А зачем тогда этот форум нужен, если все "умеют гуглить информацию".


Форум нужен чтобы зайти сюда утром пустить слезу и уйти на завод

Sensoft said:
↑ (https://antichat.live/posts/4245353/)
там где тебя нет


На длинном и кудрявом?

Denis25 said:
↑ (https://antichat.live/posts/4241047/)
Добрый день! Я совсем новичок, ничего не понимаю во взломе, но люблю играться с адресной строкой на известных сайтах. Иногда меняю параметры HTTP запросов, чтобы найти какие-то фичи.
Например на hh.ru, если поменять стандартную ссылку переговоров с работодателем
https://hh.ru/applicant/negotiations/item?topicId=5343423134
на
https://hh.ru/applicant/negotiations/item?topicId=-1
(любое отрицательное значение, после "="), то выдаст ошибку
"
Что-то пошло не так";

Если же после "=" писать любые другие числа или текст, будет выдавать стандартную ошибку 404
Кто-нибудь может объяснить почему так происходит и является ли это уязвимостью? Можно ли что-то таким образом найти? Я просто совсем ничего не понимаю в программировании и хакинге и не знаю другого способа взаимодействия с сервером кроме как через адресную строку.
Есть ли какая-нибудь подробная литература по GET и POST запросам? С чего мне начать? Хочу искать уязвимости.


Смеялись всей маршруткой

Купите книгу по Веб программированию и все вопросы отпадут сами собой.

А если по делу то ты в адресную строку пихаешь хер пойми что и тебе об этом сообщают. Никакая это не уязвимость и не баг.

FriLL said:
↑ (https://antichat.live/posts/4249706/)
Смеялись всей маршруткой
Купите книгу по Веб программированию и все вопросы отпадут сами собой.
А если по делу то ты в адресную строку пихаешь хер пойми что и тебе об этом сообщают. Никакая это не уязвимость и не баг.


а что же вы такие продвинутые кодеры на маршрутках ездите? уже свой авто должен быть

Во-первых, не ожидай, что на топовых ресурсах будет скуля прям так в открытую. А во-вторых, сейчас уже не 2007ой год и понятие SQL-инъекций, инклудов уже отжило себя. Всё секурно нынче.

попугай said:
↑ (https://antichat.live/posts/4252823/)
Во-первых, не ожидай, что на топовых ресурсах будет скуля прям так в открытую. А во-вторых, сейчас уже не 2007ой год и понятие SQL-инъекций, инклудов уже отжило себя. Всё секурно нынче.


Очень смелое заявление

Параметры, которые ты меняешь в адресной строке, взаимодействуют с базой данных. Чаще всего они фильтруются (как в твоем случае), т.е. обрабатываются программистом, чтобы исключить ввод непреднамеренных данных. Если же нет, то есть вероятность sql-инъекции - https://habr.com/post/148151/


ontheway said:
↑ (https://antichat.live/posts/4243395/)
скорее всего тебе поможет только гугл, а для начала отличный топик с ключевыми словами уже скинули


Тебе дали правильный ответ 2 месяца назад. Если ты продолжаешь обсуждать длинные с кудрявыми, вместо того чтобы читать интернет, который завален нужной тебе информацией, значит тебе недостаточно интересно, либо ты ограничен в интеллектуальных способностях. Делай выводы.


Denis25 said:
↑ (https://antichat.live/posts/4241799/)
есть мануал с пошаговой инструкцией?


1. Арендуешь самый дешевый хостинг с поддержкой php + mysql

2. Куришь основы php + mysql до тех пор, пока не начнешь понимать что происходит.

3. Читаешь десяток статей на тему sql-инъекций.

4. Повторяешь ошибки из прочитанных статей на своем хостинге.

5. Пытаешься повторить ошибки на малоизвестных и непопулярных сайтах.

Что реально смешно, ты уже продолжительное время повторяешь одни и те же действия, надеясь на разный результат. Как в твоем представлении выглядит кульминация взлома? Ты меняешь число 1 на 0 и тебе выводится сообщение: "Здравствуйте! Спасибо, что взломали наш сайт. Все пароли в списке ниже..."?