Есть один чат...
POST http://.......ru/chat/users.php HTTP/1.0 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: http://.......ru/chat/showtext.php Accept-Language: ru Content-Type: application/x-www-form-urlencoded Proxy-Connection: Keep-Alive User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Host: ..........ru Content-Length: 28 Pragma: no-cache Cookie: style_id=1; spbancook=1094027898/1280/1024/32/modem/ru/ru/ru/9251494610926607 session=oJuGSdpaNfRDWhUFrDoh
Это то что перехватил Навископ... При повторной отсылке выскакивает Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/chat/users.php on line 80
Как это можно использовать? (вообще не видел инфы здесь про хак с помощью хттп запросов...)
(никто чтоль не знает...хоть что-нибудь скажите :(

попробуй куки поменять. возможно в них скуля. но судя по "повторной отсылке" там что то болеее интересное
вообще не видел инфы здесь про хак с помощью хттп запросов...
моя тема чуть ниже)

Ну первое что я подумал что при отсылке этого запроса из него в скриптах выдирается некое id. Которое пишется затем в БД, а так как оно было записанно в предыдущем запросе, и строк с одинаковыми id быть не может, то вылетает ошибка.
Имхо кроме раскрытия диры ничего не сделаешь

ЗЫ а чем тыкать пальцем в небо лучше бы сказал че за сайт...

Sql inj в Post'e. Довольно частый случай, скинь ссылку на чат в пм.

']Sql inj в Post'e. Довольно частый случай, скинь ссылку на чат в пм.
Блин где ты здесь sql inj увидел? он же наскока, я понял, запрос не модифицировал, а отправил тот же самый, который в первый раз ошибок не вызывал.

ЗЫ Qwertison Тебе сколько уже говорили кинь ссылку...

при несуществующем параметре при некоторых условиях mysql может выводить ошибку.

Как это можно использовать? (вообще не видел инфы здесь про хак с помощью хттп запросов...)

а чем мы тут хакаем? фтп запросами?)))))))))))))))))))

']при несуществующем параметре при некоторых условиях mysql может выводить ошибку.
Тогда попробуй объяснить почему один и тот же запрос в первый раз вызывает ошибку а во втрой раз нет...

Вобще мне кажется он тут чето напутал, т.е. какието пост данные должны скрипту передаваться обязательно, а он чет не так скопировал и видно что скрипту юзерс пост данные у него не передаются и соответственно там косяки с переменными и такая ошибка в скуль запросе

Как это можно использовать? (вообще не видел инфы здесь про хак с помощью хттп запросов...)
видел помойму нде-то в видео... Может нет

Юзай инеткряк... Думаю скуль можно развернуть