SQL Injcetion - clany.xf.cz
BugTrack
| SQL Injcetion - clany.xf.cz | # |
| [link] and 1=0 (nejde)
[link] and 1=1 (Jde)
Enjoy
(odpovědět) | | sql | 90.176.83.* | 22.6.2008 18:37 |
|
|
|
| re: SQL Injcetion - clany.xf.cz | # |
| [link]
Fakt demence ukladat hesla v plain textu...
(odpovědět) | Zax |  |  |  241045934 | 24.6.2008 14:04 |
|
|
|
| re: SQL Injcetion - clany.xf.cz | # |
| Jak jsi třeba zjistil ten název tabulky? Zkoušel jsem tam poslat SHOW TABLES, ale hlásí mi to: Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /3w/xf.cz/c/clany/moduly/clan.php on line 8
(odpovědět) | | Dragy | 194.138.39.* | 10.7.2008 13:13 |
|
|
|
| re: SQL Injcetion - clany.xf.cz | # |
| Je tu hodně návodu na SQL injection.. tak si je přečti.
(odpovědět) | | sql | 90.176.83.* | 12.7.2008 13:19 |
|
|
|
| re: SQL Injcetion - clany.xf.cz | # |
| Presne tak - navodu je hodne.
Na tomhle webu jsem sel ale naslepo - vzdycky nejdriv zkousim nejpravdepodobnejsi nazvy... v adrese jsem videl ?modul=clan, tak me napadlo zkusit, zda nebude nazev tabulky clan. Uhodnout pole mail a heslo uz nebylo vubec nic tezkeho ;)
Kdybych na to mel jit "presnejsi" metodou, asi bych se nejdriv podival, jakou verzi mysql maji nainstalovanou na serveru, protoze jde o petku, pak bych asi hledal v information_schema. Myslim, ze jsem napovedel az dost :)
(odpovědět) | | Zax | | | 241045934 | 12.7.2008 13:43 |
|
|
|
| re: SQL Injcetion - clany.xf.cz | # |
| hmm... jsem chtěl zjistit strukturu tabulek z information_schema a narazil jsem na zpravu: Stránky zrušeny, všem kteří si chtěli vyzkoušet SQL injection se omlouvám :) -> tak teda nic, no
(odpovědět) | | Dragy | 194.138.39.* | 22.7.2008 8:31 |
|
|
|
