ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
18.12.2008, 16:18
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.12.2006
Сообщений: 195
Провел на форуме:
14023893
Репутация:
2163
|
|
какой hex, какие [] вводимые данные должны быть в формате типа данных колонки)
/add скинь сцылко в пм
Последний раз редактировалось l1ght; 18.12.2008 в 16:36..
|
|
|
18.12.2008, 16:24
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 53
Провел на форуме:
63941
Репутация:
2
|
|
Хм получается что не будет вывода?
|
|
|
|
18.12.2008, 19:45
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Действительно, background:url(javascript:alert()) не работает. Тогда остается -moz-binding, который работает только в FF 2 и IE7, вот здесь даны примеры:
http://www.thespanner.co.uk/2007/11/26/ultimate-xss-css-injection/
|
|
|
|
18.12.2008, 20:15
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
ты хоть думаешь, что пишешь? это MSSQL
Это я уже понял. Вместо того, чтобы кричать, лучше бы решение дали. Иначе ваш пост несет смысловой нагрузки 0%
Кстати, вовсе не факт, что обязательно MSSQL
|
|
|
|
18.12.2008, 20:38
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 53
Провел на форуме:
63941
Репутация:
2
|
|
На сервере MySQL + ASP.NET
|
|
|
|
18.12.2008, 20:48
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
интересное сочетание...
@Pashkela
откуда ты знал? =)
|
|
|
|
18.12.2008, 22:00
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Ну что там Mysql и для меня удивление  Просто такие же ошибки встречаются и в Access и в Oracle, судя по гуглу |
|
|
|
18.12.2008, 23:38
|
|
Reservists Of Antichat - Level 6
Регистрация: 09.07.2008
Сообщений: 102
Провел на форуме:
1744345
Репутация:
573
|
|
Сообщение от Pashkela
Ну что там Mysql и для меня удивление Просто такие же ошибки встречаются и в Access и в Oracle, судя по гуглу 1)Ошибки не в бд, а в кодде веб приложения
2)Инжекту подвержены практически все виды бд 
поэтому удивляться тут нечему
|
|
|
|
19.12.2008, 20:12
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 53
Провел на форуме:
63941
Репутация:
2
|
|
Чего-то мне последнее время кривые инъекции попадаются )))
-1+union+select+1--
Incorrect syntax near '1'.
-1+union+select+null--
Incorrect syntax near the keyword 'null'.
Чего оно хочет? O_o
Order by .. к примеру работает.
И еще -1+or+1=(select+user)-- выводит все верно, а вот если к примеру -1+or+1=(select+xxx+from+xxx)--
Incorrect syntax near the keyword 'from'.
------
Подкиньте пару вариантов как это одолеть ))
З. Ы. Microsoft SQL Server 2000
|
|
|
|
18.12.2008, 23:12
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Просто такие же ошибки встречаются и в Access и в Oracle
да все верно, я пришел к выводу, что это ошибка характерна для ASP.NET, а не для конкретной RDBS
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?1001418){kind=avatar}
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?1001556){kind=avatar}
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?1001877){kind=avatar}
Похожие темы
Комбинированный вид
