10.05.2009, 16:31
|
|
Познающий
Регистрация: 07.05.2009
Сообщений: 64
С нами:
8953743
Репутация:
59
|
|
Сообщение от AET
при воде ковычек выдает ошибку
ADODB.Field error '800a0bcd'
Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
/index.asp, line 21
Ошибка говорит о том, что ты передаёшь, не существующий URL параметр. Дабы небыло такой ошибки часто место неё выводят MsgBox.
Пример:
Код:
<% If rsProfile.EOF And rsProfile.BOF Then %>
<script language="VBScript">
dim Message
Message=MsgBox("Такой записи не существует",65,"Ошибка")
document.write(Message)
</script>
<% End If %>
Имхо инъекции здесь нету!
Последний раз редактировалось bug1z; 10.05.2009 в 16:39..
|
|
|
10.05.2009, 13:30
|
|
Banned
Регистрация: 11.03.2009
Сообщений: 214
С нами:
9035873
Репутация:
317
|
|
при воде ковычек выдает ошибку
ADODB.Field error '800a0bcd'
Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
/index.asp, line 21
Это скорее всего MSSQL и тута не чего не попишеш... хотя хз
Ищи ошибку вот такого вида
Код:
Microsoft OLE DB Provider for SQL Server error '80040e14'
Line 1: Incorrect syntax near 'NO'.
/prodDetails.asp, line 1282
И смотри >>Здесь<<
Последний раз редактировалось farex; 10.05.2009 в 13:32..
|
|
|
|
11.05.2009, 10:46
|
|
Постоянный
Регистрация: 26.03.2008
Сообщений: 311
С нами:
9540826
Репутация:
479
|
|
где можно взять полный список этих "параметров(или хз как их назвать)" для проведения xss.
или это полный список?
'/about:/i','/vbscript:/i','/onclick/i','/onload/i','/onunload/i','/onabort/i',
'/onerror/i','/onblur/i','/onchange/i','/onfocus/i','/onreset/i','/onsubmit/i',
'/ondblclick/i','/onkeydown/i','/onkeypress/i','/onkeyup/i','/onmousedown/i',
'/onmouseup/i','/onmouseover/i','/onmouseout/i','/onselect/i','/javascript/i',
|
|
|
|
11.05.2009, 18:55
|
|
Познавший АНТИЧАТ
Регистрация: 09.06.2006
Сообщений: 1,359
С нами:
10485026
Репутация:
1879
|
|
Сообщение от #Wolf#
где можно взять полный список этих "параметров(или хз как их назвать)" для проведения xss.
или это полный список?
Называется это события(events):
_http://vvz.nw.ru/Lessons/JavaScript/events.htm
|
|
|
|
11.05.2009, 13:38
|
|
Постоянный
Регистрация: 21.04.2009
Сообщений: 321
С нами:
8976875
Репутация:
239
|
|
как обойти такую штуку, есть склинк, нефильтруется, но находится в кавычках, как обойти? пример
site.com/index?id=1'ляляля
error SELECT * FROM table WHERE '1'ляляля'
<!--
+--+
#
/*
неработает
|
|
|
|
11.05.2009, 15:10
|
|
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
С нами:
10226672
Репутация:
441
|
|
Сообщение от udman
как обойти такую штуку, есть склинк, нефильтруется, но находится в кавычках, как обойти? пример
site.com/index?id=1'ляляля
error SELECT * FROM table WHERE '1'ляляля'
<!--
+--+
#
/*
неработает
"-- "
"--+1"
|
|
|
|
11.05.2009, 15:00
|
|
Познающий
Регистрация: 24.04.2007
Сообщений: 92
С нами:
10025299
Репутация:
412
|
|
udman не можешь закоментировать кавычку,честно говоря никогда не встречал такого(,
но действовал бы в стиле такого site.com/index?id=1'+and+'1'='2
|
|
|
|
11.05.2009, 16:05
|
|
Постоянный
Регистрация: 21.04.2009
Сообщений: 321
С нами:
8976875
Репутация:
239
|
|
по поводу
site.com/index?id=1'+and+'1'='2
будет выглядеть как
site.com/index?id=1'+and+'1'='2'
|
|
|
|
11.05.2009, 20:15
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
С нами:
9410786
Репутация:
2731
|
|
Сообщение от udman
по поводу
site.com/index?id=1'+and+'1'='2
будет выглядеть как
site.com/index?id=1'+and+'1'='2'
Не будет. Смотри, н.п. такой запрос есть:
PHP код:
mysql_query("SELECT column FROM table WHERE id='".$_GET)."'"
Т.е. id в кавычках. Если ты напишешь 1'+and+'1'='2', запрос будет
Код:
SELECT column FROM table WHERE id='1' and '1'='2''
Синтаксис некорректный, т.к. есть лишняя кавычка. Выход - комментарии. Если же без последнего аппострофа,
Код:
SELECT column FROM table WHERE id='1' and '1'='2'
Кавычка будет закрыта.
Последний раз редактировалось mailbrush; 11.05.2009 в 20:20..
|
|
|
|
11.05.2009, 16:34
|
|
Познающий
Регистрация: 24.04.2007
Сообщений: 92
С нами:
10025299
Репутация:
412
|
|
имееться в виду что нужно закрыть последнюю кавычку.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
