| extio: Zranitelná místa nemusí být vžd pouze v URL. Musíš otestovat všechny vstupy, tedy i POST parametry, HTTP hlavičky Cookie, User-Agent, Referer, X-Forwarded-For, apd.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. |
|
| Dik určite skusim
Ale našel jsem jiny web ale tam je problém že SQL ani XSS nemôžu najst. klasická URL adresa vyzare takto
www.site.com/Kontact.html/
www.site.com/Sponsors.html/
Ano sú tam veľke pismená s tým sa neda asi nič spraviť? (čiste len pre zaujimavosť) |
|
| Kejsi | 185.42.6.* | 12.3.2016 21:25 | # |
| | Je podľa vás na hackovanie dobrý Kali Linux ? Privat network alebo Proxy server ? |
|
| extio: Zkus různé typy kometářů (--+, /**/, #). Dále, v zavislosti na předpokládané skladbě SQL dotazu a umístění potenciálně náchylného argumentu, zkus použít i závorky. Ono z čisté vody se špatně vaří :)
----------
Sec-Cave.cz - [link] |
|
| | jj porovnával som zdrojový kod po aplikovaní tych rôzných parametrov a vždy bol rovnaky. |
|
| zavodnik | 178.72.252.* | 10.3.2016 17:22 | # |
| Mortal Kumbat
sorry, předposledně jsem měl hovno páru o BL, věřil jsem, že se jedná o nečestnou slídící návštěvu s černými úmysli zneužití a ničení (přemíra bílé kávy:/).
Na základně nedostaktu informací následovaly nadávky ale
předem nebylo v plánu splnění výhružky/hlavně morálka a vedlejší znalost jednoduchosti vystopování nechtěných../. Jinak bych nepsal tato slova. Ten šutr do hlavy mi pomoh(l), škoda každé rány co padne vedle vidˇ(drahocenný čas).
Nezveřeňuji, neničím a nikomu nelezu doprdele ale když udělám chybu ,tak se správným lidem omluvím. At´ se daří
štěstí ať přeje odvážným a připraveným. (nejlepší nosíme v hlavě)
|
|
| extio: Nešlo o vyvolání chyby, ale o to, zda server v uvedených případech vrací stejnou nebo odlišnou odpověď.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. |
|
| BEZ CHYBY
Všetky možné varianty ani po pridaní --+ alebo --
Ale nevadi na serveri som podľa IP servera našiel inú WEB stránku a tam už to funguje
|
|
| extio: A při tom and 1=1 a and 1=0 to vrací úplně stejný výsledek? A jaká je reakce na vstupy and 'a'='a respektive and 'a'='b ?
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. |
|
| Pardon konkretne Client_id parameter tam nieje
www.site.com/product.php?id=2 pridanim ' ukáže klasickú chybu ako (supplied argument is not a valid MySQL atd.)
Niesom v tom veľmi zbehli, nemožem najsť vhodný článok na naučenie
No ale and+1=1 web nabehne bez chyby (and+1=0 tiež bez chyby) - teoreticky by tam mohla byť ochrana proti určitím znakom v URL |
|
