Ваши вопросы по уязвимостям.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.

Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.

⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

#11

11.02.2019, 18:38

giloo

Guest

Сообщений: n/a

Провел на форуме:
9177

Репутация: 4

Цитата:

Сообщение от crlf

crlf said:
↑
В ошибке явно указано, что нарушен синтаксис. Лучше один раз увидеть, то бишь установить локально MySQL и разобраться в синтаксисе. Или, как минимум, почитать гайды по SQL инъекциям для новичков.

Гайды перечитаны) уже голова трещит от них(

Цитата:

Сообщение от karkajoi

karkajoi said:
↑
http://www.securityidiots.com/Web-P...XPATH-Error-Based-Injection-Extractvalue.html
изучаем, пробуем.
Сразу надо оговорится, что длина вывода не будет превышать 32 символа вроде. Что б вывести все что 32+ символы(хэш например) надо воспользоватся функцией substring(hash,32)

Спасибо! Но вы дали ссылку на входящий параметр до LIMIT.

У меня же можно инъектироваться после ORDER BY id LIMIT 0,5 >

Если я пробую UNION, то выдает ошибку что ORDERне совместим с UNION((