Просмотр полной версии : Sql-Inj на APORT.RU?!?!
Ded MustD!e
21.12.2007, 15:26
http://tv.aport.ru/nucleus/nucleus.pl?event_id=-1+union+select+1/*
Из-под IE смотрится нормально, пользователи Opera нажимаем Ctrl+A.
http://tv.aport.ru/nucleus/nucleus.pl?event_id=-1+union+select+1/*
Из-под IE смотрится нормально, пользователи Opera нажимаем Ctrl+A.
Угу скуль но поиметь с нее ничего не выйдет, там id передается в кавычках, и стоит фильтрация кавычек ИМХО
Может, я слишком поспешно сделал выводы :)
Ded MustD!e
21.12.2007, 15:34
ну вот щас все вместе и подумаем, что можно сделать)
Мдя я начинаю сомневаться что это скуль
http://tv.aport.ru/nucleus/nucleus.pl?event_id=-10+order+by+1/*
Termin@L
21.12.2007, 16:12
Это не инъекция, просто видимо при подстановке -1, вылазет ошибка.
Скорее всего при сравнении значений берётся поле, в котором не может быть значения Null, а фильтр при вводе отр. числа присваивает переменной это значение
где вы там скулю увидели?
blackybr
22.12.2007, 04:08
фильтрации кавычек там нет)
http://tv.aport.ru/nucleus/nucleus.pl?event_id=1)+('4
а если скуль и имеет место быть то фильтр врдяли что-то попускает. (видел это еще 2 года назад, так что врядли :D )
либо вполне приемлим вариант терминала
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot