Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   sql-inj mssql фильтрация символов (https://forum.antichat.xyz/showthread.php?t=49878)

$jason$ 26.09.2007 04:32
sql-inj mssql фильтрация символов
 
sql-inj в login.aspx скрипте где нужно ввести юзернэйм и пассворд в юзернэйме ' нефильтруется

Код:
Unclosed quotation mark before the character string '''. Line 1: Incorrect syntax near '''.
но остальные любые символы фильтруются +-()"*@/ и т.д т.е только цифры и буквы и кавычка нефильтруется а остальное всё фильтруется :(

можно ли как-нибудь это обойти???

Scipio 26.09.2007 09:17
попробуй:
Код:
' or '1'='1
мож прокатит. А в password кавычка фильтруется? если нет, то лучше и в пассворд так поставить

guest3297 26.09.2007 15:05
судя по ошибке что ты выложил еавыяка не фильтруеться в подписи сайт, почитай там есть статьи и софт по инжекту запроса.

$jason$ 26.09.2007 15:20
= тоже фильтруется

$jason$ 26.09.2007 15:23
Цитата:
Сообщение от [ cash ]
судя по ошибке что ты выложил еавыяка не фильтруеться в подписи сайт, почитай там есть статьи и софт по инжекту запроса.
статьи твои читал и нераз успешно применял всё на практике, но тут ска всё фильтруется
т.е инъекция только в username
а в имени там нельзя ничего кроме чисел и букв и - ,остальное всё фильтруется

guest3297 26.09.2007 15:25
Цитата:
Открытая кавычка перед строкой символов '". Линия 1: Неправильный синтаксис рядом' ".
нету тут фильтрации

$jason$ 26.09.2007 22:43
да любой символ подставляеш типо @ _"() *,
хочеш выполнить запрос типо
system_user
@@version

(как правильно составить запрос я знаю)

уже были именно такие инъекции один в один прям, но тут любой символ и всё ошибки уже нет и результат запроса неувидиш


Время: 16:13