 |
|
05.03.2011, 15:02
|
|
Участник форума
Регистрация: 27.08.2010
Сообщений: 154
С нами:
8268086
Репутация:
7
|
|
Сообщение от 1NtR0
Какая-то странная скуля, может кто сталкивался
+union+select+1--
Код:
Database access error:
SELECT `username`, `name`, `date` FROM `users` WHERE `ID`=9999999999 union select 1--
+union+select+1,2--
Код:
Database access error:
SELECT `picture` FROM `users` WHERE `ID`=9999999999 union select 1,2--
Не могу понять каким образом разные запросы вылазят. два запроса на странице, подставляя union select 1, первый становится верным, поэтому выдает ошибку со второго, в котором 3 поля, а подставив любое другое количество, ошибку выдаст первый запрос
крути через ошибку или вслепую
|
|
|
05.03.2011, 15:17
|
|
Участник форума
Регистрация: 10.09.2009
Сообщений: 120
С нами:
8772211
Репутация:
56
|
|
Сообщение от freezed
два запроса на странице, подставляя union select 1, первый становится верным, поэтому выдает ошибку со второго, в котором 3 поля, а подставив любое другое количество, ошибку выдаст первый запрос
крути через ошибку или вслепую
То, что там два запроса, это верно, но не нужно сразу советовать крутить как слепую.
Количество запросов на вывод не влияет, если вывод есть, то он будет.
1NtR0
http://forum.antichat.net/showpost.php?p=1047515&postcount=48
У тебя тоже самое, только вместо ошибки выводится сам запрос.
|
|
|
|
05.03.2011, 15:20
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
С нами:
8885780
Репутация:
672
|
|
та спалите же сайт, сколько страниц будете пантамиму делать?
|
|
|
|
05.03.2011, 16:56
|
|
Познающий
Регистрация: 29.01.2011
Сообщений: 38
С нами:
8044886
Репутация:
-2
|
|
Сообщение от Seravin
/thread148915-toolza.html вот тут хороший
Не помог, может можно какие-то символы поставить перед всеми этими именами, по типу знака "_" ?
|
|
|
|
05.03.2011, 17:00
|
|
Участник форума
Регистрация: 25.11.2009
Сообщений: 201
С нами:
8663063
Репутация:
226
|
|
в тулзе есть такая возможность
|
|
|
|
05.03.2011, 17:39
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
С нами:
9846041
Репутация:
1177
|
|
Сообщение от omg_it_glowZ
Не помог, может можно какие-то символы поставить перед всеми этими именами, по типу знака "_" ?
Угадать префикс оооочень маленький процент.
Но если это популярная CMS, то есть специальные списки с популярными CMS'ками, где указано название CMS, список "интересных таблиц" (админы юзеры) и список колонок этих таблиц.
Ссылки не помню, но помню, что составлял данный список уважаемый ettee.
|
|
|
|
06.03.2011, 15:36
|
|
Новичок
Регистрация: 12.05.2010
Сообщений: 10
С нами:
8421163
Репутация:
0
|
|
подскажите, - как можно обойти фильтрацию кавычки при SQL-INJ в mssql ? в том случае, если обычная кавычка ' заменяется на
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#DD0000"]'[/COLOR][/COLOR]
и кавычка " заменяется на
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]&[/COLOR][COLOR="#0000BB"]quot[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]
очень нужно.. |
|
|
|
06.03.2011, 16:52
|
|
Новичок
Регистрация: 16.05.2009
Сообщений: 12
С нами:
8940726
Репутация:
2
|
|
Подскажите пожалуйста,что это значит.
Есть сайт,я искал xss, и в поиск вписал ript>alert()ript>
в итоге на сайте появилась вот такая штука 
а также поиск ответил
Сообщение от None
Поиск ript>
По запросу «ript> » ничего не найдено
что это может значить? |
|
|
|
06.03.2011, 18:12
|
|
Познающий
Регистрация: 17.04.2009
Сообщений: 59
С нами:
8982831
Репутация:
37
|
|
Сообщение от o'clock
Подскажите пожалуйста,что это значит.
Есть сайт,я искал xss, и в поиск вписал ript>alert()ript>
в итоге на сайте появилась вот такая штука
а также поиск ответил
что это может значить? Поздравляю, ты нашел пассивную XSS.
|
|
|
|
07.03.2011, 14:20
|
|
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
С нами:
8803961
Репутация:
8
|
|
Не могу добиться вывода.
http://art.uga.edu/people.php?id=5025+union+select+1,2,3,4,5,6,7,8,9, 10,11,12,13,14,15,16,17+--+
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
