УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Mysql-inj?

Опции темы

Поиск в этой теме

Опции просмотра

Mysql-inj?

13.04.2006, 12:28

Laggi

Познающий

Регистрация: 19.08.2005

Сообщений: 44

Провел на форуме:
103401

Репутация: 2

Mysql-inj?

http://www.63.ru/forum/forum.php?cmd=supergrass&id='
Выдает ошибку...
Ну ясно - не отсеивается ' в запросах... что-нить глубже получится у кого-нить раскопать? У мну не получилось О_о
Гм.. там баг в таких почти везде запросах...
http://www.63.ru/forum/forum.php?cmd=supergrass&id=195438&type='
http://63.ru/poll/stat.php?anketa='
Это в селектах...
В голосовалке таже фигня в апдейте...

13.04.2006, 15:45

k1b0rg

Тут может быть ваша реклама.

Регистрация: 30.07.2005

Сообщений: 1,243

Провел на форуме:
4520553

Репутация: 1316

во всех сайтах http://"$number".ru одни и теже ошибки

13.04.2006, 17:42

max_pain89

Постоянный

Регистрация: 11.12.2004

Сообщений: 592

Провел на форуме:
2260903

Репутация: 345

Can't insert message id:

Это значит что запрос INSERT INTO, а многострадальный UNION работает лишь с SELECT

13.04.2006, 18:24

Laggi

Познающий

Регистрация: 19.08.2005

Сообщений: 44

Провел на форуме:
103401

Репутация: 2

Can't get id of forum: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' LIMIT 1' at line 1

это селект

13.04.2006, 18:26

Deem3n®

Постоянный

Регистрация: 19.09.2005

Сообщений: 408

Провел на форуме:
3730496

Репутация: 519

И еще, если ввести в форме
__hxxp://www.63.ru/mail/mail?cmd=showforget
в качестве имени пользователя ' or 1=1 /*, то будет

Код:

Пароль от ящика ' or 1=1 /*@63.ru : blade
Не забывайте его!

14.04.2006, 13:19

Laggi

Познающий

Регистрация: 19.08.2005

Сообщений: 44

Провел на форуме:
103401

Репутация: 2

дак вот: есть ли методика унзнавания имен таблиц или т.п.?

14.04.2006, 17:38

fucker"ok

Познавший АНТИЧАТ

Регистрация: 21.11.2004

Сообщений: 1,137

Провел на форуме:
2487541

Репутация: 761

есть. Но как-то при insert я методов не вижу. Тут рулит многострадальный union =)

14.04.2006, 19:01

Laggi

Познающий

Регистрация: 19.08.2005

Сообщений: 44

Провел на форуме:
103401

Репутация: 2

Цитата:

Сообщение от fucker"ok

есть. Но как-то при insert я методов не вижу. Тут рулит многострадальный union =)

да блин... тут не только в инзертах дыры! :-)
Я где-то в селекте видел...
А не мог бы подсказать ссылку или описать методику поиска названий таблиц и полей в них

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
SQL инъекция в MySQL	gadjet	Уязвимости	13	27.12.2005 21:06
вопрос про mySql уязвимость	Kent	Уязвимости	6	19.07.2005 01:01
Общие Рекомендации Защиты (MySQL и SQL Web-интерфейс)	k00p3r	Чужие Статьи	0	13.06.2005 11:22
Защищаем MySql. Шаг за шагом	k00p3r	Чужие Статьи	0	13.06.2005 11:18
SQL инъекция в сервере MySQL	k00p3r	Чужие Статьи	0	12.06.2005 12:41

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход