 |
|
06.11.2009, 19:18
|
|
Новичок
Регистрация: 19.05.2009
Сообщений: 8
С нами:
8937720
Репутация:
5
|
|
PS: Заманали икспайдерами, честное слово.
Pashkela, я только учусь, не суди строго)
|
|
|
06.11.2009, 19:19
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
AntiHacker7:
https://forum.antichat.ru/thread153877.html
|
|
|
|
06.11.2009, 19:21
|
|
Новичок
Регистрация: 19.05.2009
Сообщений: 8
С нами:
8937720
Репутация:
5
|
|
AntiHacker7:
https://forum.antichat.ru/thread153877.html
Конечно спасибо, но это уже читал, сейчвс изучаю данную тему:
https://forum.antichat.ru/thread104591.html
|
|
|
|
06.11.2009, 20:18
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
DrAssault, так я ж не прошу решить мою проблему за меня. Я и пытаюсь вникнуть и хочу чтобы кто либо дал мануал л том как раскрутить MSSQL-inj без подзапросов!
|
|
|
|
06.11.2009, 21:02
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
С нами:
9204308
Репутация:
256
|
|
Сообщение от jecka3000
DrAssault, так я ж не прошу решить мою проблему за меня. Я и пытаюсь вникнуть и хочу чтобы кто либо дал мануал л том как раскрутить MSSQL-inj без подзапросов!
Какой мануал? Может кто-нибудь написал мануал по твоему случаю?! Дать тебе ссылку? А сам ты не в состоянии заюзать поиск по форуму? (поговаривают очень полезная вещь) Не поймёшь ты ничего таким образом, читай спецификации, а понимание придёт со временем, но это уже будет другое понимание, более глубокое и осмысленное...
|
|
|
|
06.11.2009, 21:11
|
|
Новичок
Регистрация: 04.11.2009
Сообщений: 2
С нами:
8693233
Репутация:
4
|
|
Сообщение от jecka3000
DrAssault, так я ж не прошу решить мою проблему за меня. Я и пытаюсь вникнуть и хочу чтобы кто либо дал мануал л том как раскрутить MSSQL-inj без подзапросов!
Всетаки рекомендую начать с азов.
Узнать какие SQL команды существуют (Select, Insert, Update), их синтаксис. В твоем случае это INSERT . Попробуй понять можно ли увидеть результаты того что ты вводишь. Если да, то определи список объектов в базе. Поняв как функционирует база ты сможешь провести атаку например используя несколько команд в одном запросе.
|
|
|
|
07.11.2009, 17:50
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
С нами:
10268804
Репутация:
208
|
|
Вот хотел узнать... есть один сайт. не знаю почему, но мне кажется, что он не серьезно защищен, хотя вид деятельности серьезный.
читал статьи по SQL inj, и по XSS, и пробовал там все это принять..
Не знаю это хорошо или плохо, но вот не понял на самом деле уязвимости есть или нет.
на страинце обратный адрес была форма письмы, я там ставил на все поля Java код (из статьи по XSS) и он отправился! (написал, типа спасибо за заявку).
А насчет SQL, ввел простые запросы, типа: site.com/index.php?id=1 и все они показывали главную страницу..
Еще что заметил, это просто так написал в конце адреса admin, и открылся сайт хостера(hoster.ru) а в середине написан "страница не найден".
Какие выводы можно делать? Сильно не пинать, т.к. в этом деле очень и очень плохо разбираюсь пока. т.е. учусь  ) |
|
|
|
07.11.2009, 17:53
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
С нами:
8947056
Репутация:
229
|
|
Сообщение от B1t.exe
Вот хотел узнать... есть один сайт. не знаю почему, но мне кажется, что он не серьезно защищен, хотя вид деятельности серьезный.
читал статьи по SQL inj, и по XSS, и пробовал там все это принять..
Не знаю это хорошо или плохо, но вот не понял на самом деле уязвимости есть или нет.
на страинце обратный адрес была форма письмы, я там ставил на все поля Java код (из статьи по XSS) и он отправился! (написал, типа спасибо за заявку).
А насчет SQL, ввел простые запросы, типа: site.com/index.php?id=1 и все они показывали главную страницу..
Еще что заметил, это просто так написал в конце адреса admin, и открылся сайт хостера(hoster.ru) а в середине написан "страница не найден".
Какие выводы можно делать? Сильно не пинать, т.к. в этом деле очень и очень плохо разбираюсь пока. т.е. учусь ) Сайт в студию
|
|
|
|
07.11.2009, 19:56
|
|
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
С нами:
8803961
Репутация:
8
|
|
Group by дает 6 полей,но подобрать не удается.Кто нибудь может обьяснить в чем причина.
Заранее всем спасибо.
http://www.realtor.am/newbuilding.php?id=10'+group+by+6%23&lang=en
http://www.realtor.am/newbuilding.php?id=10'+union+select+1,2,3,4,5,6%23 &lang=en
The used SELECT statements have a different number of columns
|
|
|
|
07.11.2009, 20:22
|
|
Участник форума
Регистрация: 06.02.2008
Сообщений: 110
С нами:
9610572
Репутация:
32
|
|
Сообщение от B1t.exe
Еще что заметил, это просто так написал в конце адреса admin, и открылся сайт хостера(hoster.ru) а в середине написан "страница не найден".
Здесь, все понятно, по не найденным страницам идет редирект на дефолтную (в данном случае на прова), так что диры с именем admin не существует.
Сообщение от B1t.exe
на страинце обратный адрес была форма письмы, я там ставил на все поля Java код (из статьи по XSS) и он отправился!
наверное javascript) и вообще зря отправлял, контролировать вывод ты не можешь, так как заявки просматривает токо админ и соответственно как фильтруется твой код понимания нет, отсюда и бесполезность атаки
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 3 (пользователей: 0 , гостей: 3)
|
|
|
|
Похожие темы
Линейный вид
