sqli

HackForum

sqli#
Ahoj,Chtěl bych se zeptat.. Když na webu testuji zranitelnost na sqli. Na některých webech se místo ' automaticky přepne na např. %27 . Znamená to že web je zabezpečený? Nebo je chyba v prohlížeči ? (internet exploer to nedělá) ale zas chrome to udělá občas.
(odpovědět)
kellodos | 90.183.138.*1.2.2016 15:16
re: sqli#
To bude nakládání se znaky v URL, moc do toho nevidím, ale ten dotaz jde napsat v HEX. Viz. [link] ..
Ten kód %27 = '

[link]
http%3A%2F%2Fwww.example.com%2Findex.php%3F
page%3D260%26id%3D22
SQLi:
kozicka.cz/index.php?page=-1'%20or%20'18'%3
d'19
kozicka.cz/index.php?page=-1' or '18'='19

(odpovědět)
host | 5.196.31.*1.2.2016 20:09
re: sqli#
Děkuji :) Je možné že když se to automaticky přepne do HEX že to nefunguje? Protože když zkouším zranitelnost a hodí to sql error tak v pohodě. Jakmile chci zkusit třeba order by tak se to automaticky přepne do hex a nic to nedělá ..
(odpovědět)
kellodos | 90.183.138.*2.2.2016 7:33
re: sqli#
kellodos: Kde se to URL kódování projevuje? V URL, nebo někde ve stránce? Pokud v URL, tak to znamená, že tam máš nějakou chybu. Zkus dát konkrétní data, co a ideálně i kam vkládáš.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP2.2.2016 17:08
re: sqli#
Pokud v URL, tak to znamená, že tam máš nějakou chybu.
A nebo vlastně taky třeba ne, že? Jak tě napadlo toto napsat?
(odpovědět)
prc | 213.211.51.*8.2.2016 19:52
re: sqli#
prc: Jak jsem to myslel? Třeba takto: Zkus do adresního řádku vložit toho:
example.cz/?test=%2'

a potom toto:
example.cz/?test=%27'

Tím, že uděláš chybu třeba v tom URL kódování (%2 je očividně špatně), tak to kóduje do URL kódování celý zbytek řetězce. Pokud tam tu chybu neuděláš, viz druhý případ, tak se ti nic nekóduje. Otázka byla položena tak, že vůbec nechápu, kde se mu co kóduje. Toto je jedna z možností, kdy k tomu URL kódování dochází a proto má reakce byla, že pokud se mu to kódování promítá do URL, tak tam má nejspíš chybu.

BTW: Odpovídá to i zmíněné informaci, že IE to nedělá.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP8.2.2016 20:34

Zpět
Svou ideální brigádu na léto najdete na webu Ideální brigáda
 
 
 

 
BBCode