20.12.2013, 17:28
|
|
Участник форума
Регистрация: 23.06.2013
Сообщений: 103
С нами:
6783446
Репутация:
45
|
|
Сообщение от Ben Franc
Ben Franc said:
Доброго времени суток, уважаемые.
Есть сайт io.ua. Когда вводишь union в, например, поле имени или пароля, то выкидывает на пустую страницу:
Подобное же наблюдается когда вводишь union в поле пароля к закрытому альбому.
Попытки как-нибудь обнаружить вручную уязвимость по разным мануалам, выложенным в сети ни к чему не привели. Также Netsparker после скана ничего толкового не выдал. Хотя это всё и не показатель - я нуб нубом в этом, а автоматизация и так понятно что не всегда верна.
Вопрос в том, является ли то, что выдается пустая страница сигналом, что есть уязвимость или же это у них стоит фильтр на union?
На этом сайте практически везде, где можно использовать union, фильтр не позволяет, наоборот - вывода нет. Крутите если хотите, может что-то и получится)
Код:
http://io.ua/c14/u/Kiev. Nakoenec-to vypal sneg!/'or(1=(if(mid(version(),1,1)=5,1,0)))or'
Blind
|
|
|