Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   php-inj & sql-inj на generis.ru (https://forum.antichat.xyz/showthread.php?t=13593)

gimlis 28.01.2006 00:44
php-inj & sql-inj на generis.ru
 
На этом сайте найдены
http://www.generis.ru/
потенциальная php-inj
http://www.generis.ru/?page=qwe
и потенциальная sql-inj
http://www.generis.ru/?page=press_wholenews&id=qwe
Вот я нашел уязвимости, как ими можно воспользоваться?

Nova 28.01.2006 01:07
Цитата:
Сообщение от gimlis
http://www.generis.ru/?page=press_wholenews&id=qwe
Вот я нашел уязвимости, как ими можно воспользоваться?
По моему там только SQL Injections а пхп иньекций там нет то просто ошибака стиля вроде....

Rebz 28.01.2006 01:19
SQL-inj красава =))
пхп-инъекции к сожалению там нет... если толкьо локальных html-страничек.. но это ничего не даст..

Nova 28.01.2006 01:26
Цитата:
Сообщение от Rebz
SQL-inj красава =))
а чем плоха разнообразие как никак чел хоть ' не пихает как все (и я тоже ' пихаю) :D

gadjet 28.01.2006 09:14
Да, там скуль инъекция
http://www.generis.ru/?page=press_wholenews&id=-1+union+select+1,'blablabla',3,4,5,6/*
Далее подбирай таблицы

D1mOn 28.01.2006 10:38
нашёл таблицу news но толку дамаю мало буит от этой таблицы)))

gadjet 28.01.2006 13:01
Да, действительно, толку мало...

virgoz 28.01.2006 18:45
еще таблица config
но столбцы не подобрал

gimlis 29.01.2006 00:15
Цитата:
Сообщение от gadjet
Да, там скуль инъекция
http://www.generis.ru/?page=press_wholenews&id=-1+union+select+1,'blablabla',3,4,5,6/*
Далее подбирай таблицы
там можно и без /*, запрос не фильтруется вообще и дальше по запросу ничего нет.

virgoz 29.01.2006 02:30
Цитата:
там можно и без /*, запрос не фильтруется вообще и дальше по запросу ничего нет.
Разве это что-то меняет? ;)


Время: 03:07