Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
Как составить Sql запрос? |
04.09.2006, 00:28
|
|
Участник форума
Регистрация: 23.11.2005
Сообщений: 179
Провел на форуме:
770940
Репутация:
23
|
|
Как составить Sql запрос?
Сегодня на форуме vBulletin v2.x Reloaded при помощи сканера
нашол небольшой баг в виде SQL инжект , но может из-за еще не больших знаний в этой области немогу разобраться что с этим сделать? Можно ли как составить запрос?
Ошибка такая:
Vulnerability description
This script is possibly vulnerable to SQL Injection attacks.
SQL injection is a vulnerability that allows an attacker to alter backend SQL statements by manipulating the user input. An SQL injection occurs when web applications accept user input that is directly placed into a SQL statement and doesn't properly filter out dangerous characters.
This is one of the most common application layer attacks currently being used on the Internet. Despite the fact that it is relatively easy to protect against, there is a large number of web applications vulnerable.
This vulnerability affects /fobo2/main.php.
The impact of this vulnerability
An attacker may execute arbitrary SQL statements on the vulnerable system. This may compromise the integrity of your database and/or expose sensitive information.
Depending on the back-end database in use, SQL injection vulnerabilities lead to varying levels of data/system access for the attacker. It may be possible to not only manipulate existing queries, but to UNION in arbitrary data, use subselects, or append additional queries. In some cases, it may be possible to read in or write out to files, or to execute shell commands on the underlying operating system.
Certain SQL Servers such as Microsoft SQL Server contain stored and extended procedures (database server functions). If an attacker can obtain access to these procedures it may be possible to compromise the entire machine.
Attack details
The POST variable application%2EfIndex%2Esearch has been set to %27.
Кто знает объясните что это такое и как эту багу можно использовать?
Последний раз редактировалось Dimazzz; 04.09.2006 в 00:30..
|
|
|
04.09.2006, 01:11
|
|
Участник форума
Регистрация: 23.11.2005
Сообщений: 179
Провел на форуме:
770940
Репутация:
23
|
|
вот еще
http://fobo.ru:80/announcement.php?forumid=1&announcementid=%27
Только у меня вопрос как этим можно воспользоваться? Как составить запрос?
Просто почемуто в этой скуле не выдало ошибку в строке ??? Как это обычно бывает.
|
|
|
|
04.09.2006, 14:41
|
|
Познающий
Регистрация: 11.10.2005
Сообщений: 97
Провел на форуме:
732018
Репутация:
117
|
|
В разделе "Статьи" есть очень много тем про SQL injection.
|
|
|
|
04.09.2006, 17:23
|
|
Новичок
Регистрация: 04.09.2006
Сообщений: 4
Провел на форуме:
3555
Репутация:
1
|
|
Я допускаю, что есть много людей, которые знают гораздо больше чем я. Но я не придумал ни одного способа как в /fobo2/main.php можно просунуть SQL-Injection.
|
|
|
|
04.09.2006, 17:32
|
|
Banned
Регистрация: 20.06.2005
Сообщений: 880
Провел на форуме:
4610226
Репутация:
1332
|
|
>>This script is possibly vulnerable to SQL Injection attacks.
щас вас зо берут (стало быть уже в пути к вам одепты фсб и других спец служб)
|
|
|
|
04.09.2006, 19:08
|
|
Участник форума
Регистрация: 23.11.2005
Сообщений: 179
Провел на форуме:
770940
Репутация:
23
|
|
Ну хватит смеху =)) Подскажите что нить
|
|
|
|
04.09.2006, 19:19
|
|
Постоянный
Регистрация: 21.12.2005
Сообщений: 620
Провел на форуме:
1867718
Репутация:
268
|
|
ну вы дали, если возникает такая многострочная ошибка то вас скоро пасадят за незаконный достпу к чужой информации. это репорт о том что их сайт атакуют и он весьма может быть отправляется админу на мыло.
|
|
|
|
05.09.2006, 01:11
|
|
Участник форума
Регистрация: 23.11.2005
Сообщений: 179
Провел на форуме:
770940
Репутация:
23
|
|
ну да =) жду с нетерпением
|
|
|
|
05.09.2006, 16:18
|
|
Новичок
Регистрация: 04.09.2006
Сообщений: 4
Провел на форуме:
3555
Репутация:
1
|
|
А по сути будет что-то? Или как обычно, пишут только "ламеры-программеры", а профи молчат?
|
|
|
|
05.09.2006, 16:34
|
|
Banned
Регистрация: 20.06.2005
Сообщений: 880
Провел на форуме:
4610226
Репутация:
1332
|
|
>>Сегодня на форуме vBulletin v2.x Reloaded при помощи сканера
и н**уя использовать сканеры если даже малейшего представления о скл-инж не имеете?
сканеры создавались не для кидисов, а для того чтобы облегчать труд и автоматизировать работу.
Последний раз редактировалось Azazel; 06.09.2006 в 23:28..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
