28.11.2012, 13:12
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
С нами:
9176038
Репутация:
8
|
|
Сообщение от MorganFr
Спасибо, а вот тут такого рода ошибку нашёл, это тоже самое?
Код:
http://www.sdelanounas.ru/index/loginPage/
Если в поле логин ввести одинарную ковычку ' и любой пароль, то выводит ошибку: Подозреваю что тут инъекция точно присутствует.
Во всяком случае при использовании ' or 1='1 сервер не ругался.
Так как вывода нет, решил попробовать Time-Based SQL, но sleep(2) отправил сервер в даун... Теперь жду пока оживёт
З.Ы. Забудь про HAVIJ - он не обойдёт за тебя WAF и не определит фильтры. Его можно юзать как дампер, когда полностью готов вектор атаки и есть все данные, но не как "Утилиту для авто-похека".
|
|
|