Prosba
HackForum
| Ponúkam 30eur za nájdenie a nahlásenie potenciálnej zraniteľnosti, najmä prístupu do databázy na mojich webových stránkach (pripomínam, že webové stránky sú vo vývoji)
Najviac ma zaujíma zabezpečenie prístupu do databázy, napríklad na adrese [link]
potenciálne zraniteľnosti môžete písať tu v diskusii .. vážne zraniteľnosti napíšte na môj e-mail (odpovědět) | VincoNafta | 37.48.43.* | 31.8.2021 15:24 |
|
|
|
| Hele, a jseš si vědom toho, že celý tvůj web běží na freehostingu? Tzn. jakákoli tvoje (ne)zranitelnost je záležitostí toho u koho máš hosting (v tvém případě Endora.cz).
Věci jako SQLi prostě neovliníš, protože ani nemáš možnost spravovat svou vlastní databázi. Nemáš přístup na server, k databázi, k ničemu.
Btw:co jsem se díval, tak tam máš zranitelnost XSS.
Doporučuji přejít na vlastní hosting. V dnešní době už bych freehosting pro žádný projekt neřešil. Kdo dnes řeší náklad 500 kč/rok....?
(odpovědět) | w3bec | 185.156.38.* | 4.9.2021 21:48 |
|
|
|
| Ano, SQL injekce v té aplikaci je. Dá se pomocí ni dostat ale pouze do databáze "db_353N8_stcnky". Podle jejího obsahu to ale pravděpodobně je pouze jedna z více databází, které jsou aplikací použity.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. (odpovědět) | |
|
|
| Trochu chápem, že pomocou sqli môžete zistiť približnú a možno aj presnú štruktúru databázy, ale ako ste zistili jej názov? Dúfam, že chyba umožňuje len čítanie databázy a nie písanie. btw web je na free hostingu, pretože je to rozdelený projekt a keď je úplne hotový, presuniem ho (odpovědět) | VincoNafta | 37.48.43.* | 7.9.2021 17:46 |
|
|
|
| select database(). Ano, je možné obsah databáze pouze číst.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. (odpovědět) | |
|
|