22.01.2012, 19:50
|
|
Новичок
Регистрация: 21.02.2009
Сообщений: 3
С нами:
9061916
Репутация:
0
|
|
Сообщение от MadFun.
Подскажите, можно ли раскрутить данный баг?
Код:
http://stat.webyse.com/audience.php?id=1563
никак. из-за отсутсвия тэгов просто выпадает кусок js скрипта.
хотя там есть пассиваная хсс:
Сообщение от None
http://stat.webyse.com/audience.php?id=%3Cscript%3Ealert();%3C/script%3E
можешь попытаться выташить куки.
|
|
|
23.01.2012, 11:51
|
|
Новичок
Регистрация: 22.11.2011
Сообщений: 9
С нами:
7617206
Репутация:
0
|
|
Просканировал сайт Vulnerability сканером нашел уязвимость (ошибка Mysql при ?id=1'), havij позволяет просмотреть все таблицы. А вот в браузере эта ошибка не отображается. Не подскажите почему так?
зы. Извините за нубовский вопрос.
|
|
|
|
23.01.2012, 12:07
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
С нами:
10992741
Репутация:
0
|
|
В исходный код загляни, может там что найдешь. Ты уверен, что ошибка точно выводится?
|
|
|
|
23.01.2012, 12:18
|
|
Новичок
Регистрация: 22.11.2011
Сообщений: 9
С нами:
7617206
Репутация:
0
|
|
Сообщение от gl0w
В исходный код загляни, может там что найдешь. Ты уверен, что ошибка точно выводится?
В исходном коде сведений об ошибке нет. При вводе news.php?id=1' открывается просто страничка news.php
И havij, и vulnerability говорят что ошибка и с легкостью пользуются этой уязвимостью
|
|
|
|
23.01.2012, 12:19
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
Сообщение от Qzen
В исходном коде сведений об ошибке нет. При вводе news.php?id=1' открывается просто страничка news.php
И havij, и vulnerability говорят что ошибка и с легкостью пользуются этой уязвимостью
пост запросы смотрел?
|
|
|
|
23.01.2012, 12:24
|
|
Новичок
Регистрация: 22.11.2011
Сообщений: 9
С нами:
7617206
Репутация:
0
|
|
Сообщение от Gorev
пост запросы смотрел?
Скорее всего там ошибка. Только в виду моей нубизны я не знаю как смотреть)
Не подскажите, может есть какое то дополнение на Firefox для просмотра?
|
|
|
|
23.01.2012, 12:41
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
С нами:
10992741
Репутация:
0
|
|
Сообщение от Gorev
пост запросы смотрел?
Врятли он отправлял POST запросы, там надо вручную указывать все параметры, а он не додумался бы )
Сообщение от Qzen
При вводе news.php?id=1' открывается просто страничка news.php
Попробуй выключить редирект
|
|
|
|
23.01.2012, 12:53
|
|
Новичок
Регистрация: 22.11.2011
Сообщений: 9
С нами:
7617206
Репутация:
0
|
|
Сообщение от gl0w
Врятли он отправлял POST запросы, там надо вручную указывать все параметры, а он не додумался бы )
Попробуй выключить редирект
Вот! Поставил оперу, отключил редирект и сработало. В ФФ почему то все равно перенаправлялось.
Спасибо.
|
|
|
|
23.01.2012, 14:33
|
|
Участник форума
Регистрация: 05.09.2010
Сообщений: 147
С нами:
8255126
Репутация:
78
|
|
Сообщение от Qzen
Вот! Поставил оперу, отключил редирект и сработало. В ФФ почему то все равно перенаправлялось.
Спасибо.
Ошибки не возникало потому что, в новых версиях FireFox кодирует ' как %27. Нужно патчить. Патч можно скачать тут: https://rdot.org/forum/showthread.php?t=1403
|
|
|
|
23.01.2012, 20:07
|
|
Постоянный
Регистрация: 17.09.2011
Сообщений: 390
С нами:
7712246
Репутация:
23
|
|
Это MySQL?
_http://www.minprom.gov.by/organizacii?OKPO=24+union+select+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
