|
SQL-инъекция в Invision Power Board
Сразу к делу вот просто форум
http://masichka.novoross.ru/forum/index.php далее я сформироваю URL вот такой: http://masichka.novoross.ru/forum/in...=SQL_INJECTION вылетает окно;) и что дальше?? :confused: |
ошиба это..
|
Ну и?
|
%20UNION%20SELECT%200,0,password,id,name,0,0,0,0,0 ,0,0,0,0,0,0,0,0%20FROM%20ibf_members/*
С таким запросом не работает, а в чем ошибка? |
Цитата:
1,100%20UNION%20SELECT%200,0,password,id,name,0,0, 0,0,0,0,0,0,0,0,0,0,0%20FROM%20ibf_members/* А во-вторых все равно работать не будет, поскольку ORDER BY несовместимо с UNION |
Вот читаю на секюрити лаб
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения. Пример: http://[target]/forums/index.php?act=Members &max_results=30&filter=1&sort_order=asc& sort_key=name&st=SQL_INJECTION ---------------------------------------------------------------------------------- И кто мне доступно обяснит как этим пользоваться ? |
SQL_INJECTION
тут sql язык надо знать хорошо =\ типа создание таблиц перемещиние и т.д. с помощью этого можно свой аккаунт допустим сделать админским. |
круто... и правда работает и правда материться на использование Union и Order By, а вобще можно заюзать как нибудь этот баг?
|
Ну ё мое :confused:
|
| Время: 07:00 |