Pokaż wyniki 1 do 8 z 8

Temat: sql injection

  1. #1
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie sql injection

    może ktoś nato zerknąć
    co to sa te losowe liczby po jedynkach które się wysiwtlaja na stronie
    dziwne troche
    czas pobrania informacji w mikro sekundach czy co

    heh fajne ajak zrobie tak
    URL USUNIETY
    to wyświtla sie inf
    wcale się niezdiwie jak to bedzie nawa tabeli albo bardziei kolumny
    bardzo pozytywne zjawisko
    nie to jednak nienazwa kolumny
    ale mimo wszytko dość dziwne
    nazwa tabeli to news a może bardziei baza danych
    krok po kroczku może sie uda






    kroczek po kroczku wiedziałem że to ogarne kiedyś brakuje tylko hasła
    URL USUNIETY
    Ostatnio edytowane przez TQM : 06-13-2007 - 09:47

  2. #2
    Zarejestrowany
    Apr 2007
    Postów
    367

    Domyślnie

    URL USUNIETY
    16 kolumn, na tym kończy się moja wiedza z SQLa

    tylko czemu nie działa
    URL USUNIETY
    Ostatnio edytowane przez TQM : 06-13-2007 - 09:46

  3. #3
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    Hehe - sql injection jak nic

    URL USUNIETY

    Tyle, że dostępu nie ma do bazy users

    a moze by tak inserta do tabeli news - i jakis ciekawy artykul umiescic
    Ostatnio edytowane przez TQM : 06-13-2007 - 09:46

  4. #4
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie re

    powiadomiłem admina o bugach niewiem cos mi odbiło
    może jescze zostane harcerzem

    a błędy są w cały tym dziale

  5. #5
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    Cytat Napisał ble34 Zobacz post
    powiadomiłem admina o bugach niewiem cos mi odbiło
    może jescze zostane harcerzem

    a błędy są w cały tym dziale

    Masz racje (niekoniecznie odnosnie zostania harcerzem) - miejmy nadzieję, że się poprawią - bo jak nie ...

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Gratuluje Panowie...

    Niestety musialem usunac podane przez Was URLe - kto widzial ten juz widzial ale nie chcemy raczej aby jakis duren zrobil z tego uzytek w niewlasciwym celu i namieszal

    ble34 - powiadomic admina nie boli... pytanie czy bedzie zainteresowany tym ze znalazles taka ladna dziure w jego zabawce
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie re

    masz racje nieboli ale zdrugiei strony dlaczego miałbym go informować
    a co do jego reakcji
    to niespodziewam się odpowiedzi
    wogóle myśle że szybko tego nienaprawią chociaz wystarczy przepuuścic zmienna przez int() albo is_numeric() i po bólu
    ale jakieś 2 miechy temu powiadomiłem adminów gazety.pl ze na forum jest dziura xss inic sie niezmieniło jak było tak jest
    jak będzie tu to czas pokarze

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Ano widzisz... moim zdaniem takich ludzi powinno sie wtedy zwalniac z pracy i to z solidnym kopem w dupe...

    Jakby u mnie takie cos sie trafilo (bo kto wie - zawsze sie moze trafic choc niby nie powinno) to wszystko inne byloby zawieszone do czasu zbadania sprawy i znalezienia rozwiazania... jedyne co mogloby to zmienic to decyzja moich szefow ze na razie zostawic tak jak jest bo cos jest wazniejsze (a wiec decyzja biznesowa - oszacowanie ryzyka i wybranie korzystniejszej dla nas opcji... vide przyklad: jesli nie skoncze tego projektu do konca przyszlego tygodnia tracimy 4mln funtow... potencjalne straty z powodu wlamania do systemu to XXX tys. funtow uwzgledniajac downtime, czas konsultantow itd... wiec jasne co firma nakarze mi robic przez ten tydzien)... a zaraz pozniej caly dzial zostanie przekierowany aby rozwiazac problem i zrobic audit wszystkich systemow (zakladajac ze nie oddeleguja kogos w miedzyczasie aby zaczal wczesniej).

    Cale szczescie u nas podzial jest jasny kto za co odpowiada... nie wierze by gazeta.pl i inne firmy ktore sa wieksze od nas (w ilosci ludzi na pewno) nie mogly tego samego zrobic... ale biznes to biznes.

    Niemniej ignoranci powinni byc karani, zwalniani i w dupsko kopani! To nie sa juz czasy gdzie mozna sobie pozwolic na ignorowanie takich zgloszen...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. ADOdb a SQL Injection
    By prawie jak haker in forum Hacking
    Odpowiedzi: 1
    Autor: 06-10-2007, 11:35
  2. ipw3945 injection
    By dexter in forum Wardriving
    Odpowiedzi: 5
    Autor: 06-01-2007, 14:59
  3. SQL injection - skanery do testowania.
    By Mad_Dud in forum Bazy danych
    Odpowiedzi: 1
    Autor: 05-21-2007, 07:58
  4. pomocy z zapytaniem SQL :)
    By mendi in forum Newbie - dla początkujących!
    Odpowiedzi: 2
    Autor: 04-29-2007, 12:55
  5. zastrzyki sql
    By ble34 in forum Newbie - dla początkujących!
    Odpowiedzi: 20
    Autor: 11-04-2006, 22:14

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj