ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ_OLD > Уязвимости
Перезагрузить страницу Ваши вопросы по уязвимостям.
   
 
Страница 702 из 1377 « Первая < 202602652692 698 699 700 701 702 703 704 705 706 7127528021202 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 10.05.2009, 16:31
bug1z
Познающий
Регистрация: 07.05.2009
Сообщений: 64
Провел на форуме:
418218

Репутация: 59
По умолчанию
Цитата:
Сообщение от AET  
при воде ковычек выдает ошибку
ADODB.Field error '800a0bcd'

Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.

/index.asp, line 21
Ошибка говорит о том, что ты передаёшь, не существующий URL параметр. Дабы небыло такой ошибки часто место неё выводят MsgBox.
Пример:
Код:
<% If rsProfile.EOF And rsProfile.BOF Then %>
<script language="VBScript">
dim Message
Message=MsgBox("Такой записи не существует",65,"Ошибка")
document.write(Message)
</script>
<% End If %>
Имхо инъекции здесь нету!
Последний раз редактировалось bug1z; 10.05.2009 в 16:39..
 

  #2  
Старый 10.05.2009, 13:30
farex
Banned
Регистрация: 11.03.2009
Сообщений: 214
Провел на форуме:
914766

Репутация: 317
По умолчанию
Цитата:
при воде ковычек выдает ошибку
ADODB.Field error '800a0bcd'

Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.

/index.asp, line 21
Это скорее всего MSSQL и тута не чего не попишеш... хотя хз
Ищи ошибку вот такого вида
Код:
Microsoft OLE DB Provider for SQL Server error '80040e14'

Line 1: Incorrect syntax near 'NO'.

/prodDetails.asp, line 1282
И смотри >>Здесь<<
Последний раз редактировалось farex; 10.05.2009 в 13:32..
 

  #3  
Старый 11.05.2009, 10:46
#Wolf#
Постоянный
Регистрация: 26.03.2008
Сообщений: 311
Провел на форуме:
3799424

Репутация: 479
По умолчанию
где можно взять полный список этих "параметров(или хз как их назвать)" для проведения xss.
или это полный список?
Цитата:
'/about:/i','/vbscript:/i','/onclick/i','/onload/i','/onunload/i','/onabort/i',
'/onerror/i','/onblur/i','/onchange/i','/onfocus/i','/onreset/i','/onsubmit/i',
'/ondblclick/i','/onkeydown/i','/onkeypress/i','/onkeyup/i','/onmousedown/i',
'/onmouseup/i','/onmouseover/i','/onmouseout/i','/onselect/i','/javascript/i',
 

  #4  
Старый 11.05.2009, 18:55
Ch3ck
Познавший АНТИЧАТ
Регистрация: 09.06.2006
Сообщений: 1,359
Провел на форуме:
5301021

Репутация: 1879


По умолчанию
Цитата:
Сообщение от #Wolf#  
где можно взять полный список этих "параметров(или хз как их назвать)" для проведения xss.
или это полный список?
Называется это события(events):
_http://vvz.nw.ru/Lessons/JavaScript/events.htm
 

  #5  
Старый 11.05.2009, 13:38
udman
Постоянный
Регистрация: 21.04.2009
Сообщений: 321
Провел на форуме:
785842

Репутация: 239
По умолчанию
как обойти такую штуку, есть склинк, нефильтруется, но находится в кавычках, как обойти? пример

site.com/index?id=1'ляляля

error SELECT * FROM table WHERE '1'ляляля'


<!--
+--+
#
/*

неработает
 

  #6  
Старый 11.05.2009, 15:10
DimOnOID
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
Провел на форуме:
11338585

Репутация: 441
Отправить сообщение для DimOnOID с помощью ICQ
По умолчанию
Цитата:
Сообщение от udman  
как обойти такую штуку, есть склинк, нефильтруется, но находится в кавычках, как обойти? пример

site.com/index?id=1'ляляля

error SELECT * FROM table WHERE '1'ляляля'


<!--
+--+
#
/*

неработает
"-- "
"--+1"
 

  #7  
Старый 11.05.2009, 15:00
S00pY
Познающий
Регистрация: 24.04.2007
Сообщений: 92
Провел на форуме:
2621544

Репутация: 412
Отправить сообщение для S00pY с помощью ICQ
По умолчанию
udman не можешь закоментировать кавычку,честно говоря никогда не встречал такого(,
но действовал бы в стиле такого site.com/index?id=1'+and+'1'='2
 

  #8  
Старый 11.05.2009, 16:05
udman
Постоянный
Регистрация: 21.04.2009
Сообщений: 321
Провел на форуме:
785842

Репутация: 239
По умолчанию
по поводу

site.com/index?id=1'+and+'1'='2

будет выглядеть как

site.com/index?id=1'+and+'1'='2'
 

  #9  
Старый 11.05.2009, 20:15
mailbrush
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534

Репутация: 2731


Отправить сообщение для mailbrush с помощью ICQ
По умолчанию
Цитата:
Сообщение от udman  
по поводу

site.com/index?id=1'+and+'1'='2

будет выглядеть как

site.com/index?id=1'+and+'1'='2'
Не будет. Смотри, н.п. такой запрос есть:
PHP код:
mysql_query("SELECT column FROM table WHERE id='".$_GET['id'])."'" 
Т.е. id в кавычках. Если ты напишешь 1'+and+'1'='2', запрос будет
Код:
SELECT column FROM table WHERE id='1' and '1'='2''
Синтаксис некорректный, т.к. есть лишняя кавычка. Выход - комментарии. Если же без последнего аппострофа,
Код:
SELECT column FROM table WHERE id='1' and '1'='2'
Кавычка будет закрыта.
Последний раз редактировалось mailbrush; 11.05.2009 в 20:20..
 

  #10  
Старый 11.05.2009, 16:34
S00pY
Познающий
Регистрация: 24.04.2007
Сообщений: 92
Провел на форуме:
2621544

Репутация: 412
Отправить сообщение для S00pY с помощью ICQ
По умолчанию
имееться в виду что нужно закрыть последнюю кавычку.
 
 
Страница 702 из 1377 « Первая < 202602652692 698 699 700 701 702 703 704 705 706 7127528021202 > Последняя »



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ