usserrr

Am o tabela cu urmatoarele campuri si inregistrari: record_id employee_id date_time in_out 1 1 06.10.2009 07:30:21 TRUE 2 2 06.10.2009 07:30:45 TRUE 3 3 06.10.2009 07:31:01 TRUE 4 1 06.10.2009 10:18:21 FALSE 5 2 06.10.2009 10:20:38 FALSE 6 3 06.10.2009 10:22:45 FALSE 7 2 06.10.2009 10:31:57 TRUE 8 1 06.10.2009 10:33:10 TRUE 9 3 06.10.2009 10:34:21 TRUE 10 1 06.10.2009 15:32:31 FALSE 11 2 06.10.2009 15:33:00 FALSE 12 3 06.10.2009 15:35:32 FALSE Acestea fiind spuse,contruiti un query pentru a extrage urmatoarele date: employee_id datein dataout 1 06.10.2009 07:30:21 06.10.2009 10:18:21 2 06.10.2009 07:30:45 06.10.2009 10:20:38 3 06.10.2009 07:31:01 06.10.2009 10:22:45 2 06.10.2009 10:31:57 06.10.2009 15:33:00 1 06.10.2009 10:33:10 06.10.2009 15:32:31 3 06.10.2009 10:34:21 06.10.2009 15:35:32 Altfel spus un query prin care se poate calcula perioada cat s-a stat inauntru,si eventual daca se poate un alt query pentru a calcula perioada cat s-a stat afara.

Momentan contine limit,dar o sa bag sa poata fi ales intervalul,o sa includ si where.... Si da vreau un dictionar mai bogat...cum facem sa mi-l dai ?

Siteul respectiv nici macar nu e vulnerabil.... S-au ma rog asa am vazut eu in fuga... Care sunt celelalte buguri, daca tot ai testat spune ce ai intalnit? Unul din multele buguri...enumera cateva dintre ele...

Ai putea te rog sa imi dai exemplu unul din siteurile la care s-a intamplat acest lucru? Cat despre versiunile 4.0.x si 4.1.x la preferences exista niste liste pentru numele de tabele,respectiv nume de coloane...daca versiunea de mysql este >=4.0.0 atunci se incearca brute force folosind numele tabelelor din lista...si mai apoi pentru numele coloanelor tabelelor ghicite... Mai astept si alte pareri... Linkul va fi disponibil din nou odata cu terminarea noi versiuni de program.

In loc sa va certati mai bine v-ati da cu parerea despre programel.... Chiar nimeni nu are nimic de spus?gen: E o prostie.... Nu e bun de nimic....sau ar mai trebui sa mai implementezi si asta....

Scuze pentru cele petrecute... Programul mai are mici buguri, asta este unul dintre motivele pentru care l-am sters. In loc de reprosuri,ati putea veni cu sugestii sau adaugiri(cei care l-ati testat) despre cum l-as putea imbunatati.Exista o noua versiune in lucru...Cand va fi gata veti fi primi care veti afla. Inca odata scuze. Si nu, nu va fi postat pe sourceforge. Iata linkul de download al versiuni curente http://rapidshare.com/files/159709678/jsectoolrar.rar Arhiva are parola: www.rstcenter.com Contine 2 exemple si un fisier tutorial.txt unde sunt prezentate optiunile programului. Toate cele bune. Linkul va fi disponibil din nou odata cu terminarea noi versiuni de program.

Apropo, imi permit si eu un off topic: daca este descoperita o vulnerabilitate a unui site,unde ar trebui postata aici pe forum?dar raportata... Sa zicem ca siteul este din ro si nu foarte important.

Deci sa presupunem ca urlul de testat este : http://localhost/testing/index.php?id=1 Presupunem ca parametrul id ar putea fi vulnerabil... Introducem urlul in program si alegem si un cuvant din corpul paginii in campul Regex, un exemplu de cuvant de pe aceasta pagina ar putea fi "d3v1l"... Selectam delimitatorul... Dupa care dam start testing... Programul verifica daca respectivul url este vulnerabil sau nu la sql injection Pentru detaliii despre baza de date curenta folosim optiunea dbdetails ...mai departe cred ca lucrurile sunt destul de clare Daca mai aveti neclaritati va raspund cu placere Linkul va fi disponibil din nou odata cu terminarea noi versiuni de program.

Sa inteleg ca nimeni nu a testat programelul asta ? In afara de faptul ca are o interfata frumoasa, nu l-ati gasit util la nimic altceva...

Sincer nu am postat acest programel ca sa ma laud...As fi dorit sa obtin o colaborare cu alti utilizatori pentru un proiect mai amplu,ceva diferit de toate celelalte scripturi despre care vorbiti... Eu unul pot face un sql injection si manual...

Iata si linkul de download al programelului : Programel SQLInjection in java Nu l-am testat foarte mult...deci posibil sa aibe ceva buguri... Astept parerile voastre.... Versiune de jre necesara minim 1.6 Linkul va fi disponibil din nou odata cu terminarea noi versiuni de program.

Acesta este primul meu post pe acest site. In maxim o saptamana voi posta si un link catre o prima versiune in java(teoretic independenta de platforma) a unui program care automatizeaza procesul sql injection. Deocamdata programul functioneaza numai pentru baza de date MySQL in viitor voi include si altele... Atasez o imagine cu interfata acestui program Nu sunt foarte sigur ca am postat unde trebuie...daca am postat gresit rog un administrator sa mute acest thead in sectiunea corecta. Astept comentarii si eventuale pareri sau sugestii cu privire la aceasta imagine. Datorita comentariilor rautacioase voi posta in seara asta o versiune a programului...cu toate ca mai erau cateva buguri de rezolvat... Cat despre faptul ca sunt foarte multe scripturi care fac acest lucru sunt de acord cu tine d3v1l,cand am programat am avut in minte faptul ca este independent de platforma si ca are o interfata prietenoasa... Cat despre celalalt nick nu stiu despre ce vorbesti...desi exista posibilitatea sa ma fi inregistrat alta data si sa fi uitat numele de utilizator...