Pokaż wyniki 1 do 1 z 1

Temat: SQL injection

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1

    Domyślnie SQL injection

    Witam!

    Chciał bym się dowiedzieć czy możliwe jest wyciągnięcie informacji z bazy poprzez sql injection ze strony której adres wygląda mniej więcej tak: strona.com/logowanie/

    A więc na tej stronie jest skrypt do logowania + oprócz loginu i hasła trzeba przepisać kod z obrazka, nie wiadomo jak się nazywa skrypt php który to obsługuje. Dodam że po zalogowaniu adres wygląda tak: strona.com/logowanie/konta.php
    Przy próbie sql injection na zalogowanym userze strona cały czas wygląda tak samo, nic się nie zmienia, oraz nie są wywalane żadne błędy.

    Jak to ugryźć?

    Edit:

    Ok wiem już jak to jest z tym brakiem pliku php
    Przy zabawie staram się posługiwać moim loginem który istnieje w bazie
    teraz przy próbie np .php?login=ja&pass=% zostaje przekierowany na stronę która informuje że konto zostało założone, przy wpisaniu poprawnego hasła jest tak samo, oraz tak samo przy wpisaniu fikcyjnego loginu, ale konto z takim loginem nie zostaje utworzone.

    Tak samo dzieje się z każdą inną komendą zostaje przekierowany na stronę której adres wyglkąda mniej więcej tak
    strona.com/index.php?cat=actok wnioskuję że actok = account ok
    Ostatnio edytowane przez t-naw : 04-10-2010 - 17:46

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj