Pokaż wyniki 1 do 5 z 5

Temat: SQL injection

  1. #1
    Zarejestrowany
    Jun 2008
    Postów
    1

    Domyślnie SQL injection

    Witam wszystkich.
    Mam pytanie odnośnie SQL injection. wiem, że watkow o tej tematyce bylo sporo, ale wciaz nie moge zrozumiec, chociaz czytalem wiele poradnikow jak korzystac ze sql injection. np atak ' or 1=1. Rozumiem, ze po wpisaniu w polu login ' OR '1'='1 zapytanie bedzie mialo postac:
    Kod:
    SELECT USER_ID FROM USERS WHERE (LOGIN='admin') AND (PASSWORD='' OR '1'='1')
    No i teraz, co to mi da? Móglby ktos mi polecic jakis dobry kurs SQL injection? Bylbym bardzo wdzieczny za kazda, najmniejsza wskazowke/linka.
    pozdrawiam

  2. #2
    Avatar elceef
    elceef jest offline Proces bezczynności
    Zarejestrowany
    Apr 2008
    Postów
    200

    Domyślnie

    Najpierw zapoznaj się z podstawowymi prawami logiki rachunku zdań.

  3. #3
    Avatar hedVB
    hedVB jest offline AI
    Zarejestrowany
    Nov 2007
    Postów
    874

    Domyślnie

    www.lingubot.pl - projekt sztucznej inteligencji.

  4. #4
    Zarejestrowany
    Jan 2008
    Skąd
    za NATem :)
    Postów
    155

    Domyślnie

    Kod:
    (PASSWORD='' OR '1'='1')
    Cytat Napisał Quers Zobacz post
    No i teraz, co to mi da?
    1.Sprawdź, czy PASSWORD jest równy podanej wartości
    2.Sprawdź, czy 1 jest równe 1
    3.Jeśli którykolwiek z powyższych warunków jest prawdziwy to zalogój

    Ps. W większości przypadków 1 naprawdę równa się 1

  5. #5
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    ja bym zrobil to inaczej

    Kod:
    SELECT USER_ID FROM USERS WHERE LOGIN='admin' AND PASSWORD='' or concat(login,password) like 'admin%' limit 1
    przed % dopisujesz a-z0-9 czy w jakim tam formacie haslo jest. Najlepiej napisac do tego jakis program bo to z reguly trwa.
    I tak mozemy odczytac cale haselko tudziez hash.

    Oczywiscie ma to sens jak nie wyswietla sie wynik zapytania
    Ostatnio edytowane przez rip : 07-01-2008 - 06:37

Podobne wątki

  1. Sql Injection
    By xbitdesigns in forum Inne metody
    Odpowiedzi: 2
    Autor: 01-03-2015, 09:06
  2. Kurs Sql injection
    By Malcolm2600 in forum Tutoriale
    Odpowiedzi: 16
    Autor: 07-11-2008, 23:30
  3. sql injection
    By h3x in forum Hacking
    Odpowiedzi: 4
    Autor: 05-15-2008, 17:48
  4. SQL Injection - pytanie
    By mdma_niac in forum Newbie - dla początkujących!
    Odpowiedzi: 18
    Autor: 04-20-2008, 18:02
  5. sql injection
    By ble34 in forum Security
    Odpowiedzi: 7
    Autor: 06-13-2007, 15:45

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj