cLw7hp
-
Posts
36 -
Joined
-
Last visited
Posts posted by cLw7hp
-
-
Replici copiate si editate 10% dupa doza de has..
Ca de exemplu "Mai internautilor.."->"Mai cimpanzeilor"
Macar daca era amuzant.
-
Doar mie mi s-a parut amuzant?
Doar tu esti prost pe-aici?
-
Sony Ericsson XPERIA sau Nokia 800 Lumia
AU camere de 8.1 si 8 MP,procesoare puternice...
-
Niciodata nu am citit carti online,insa asta cred ca o sa fie prima .
Excelent explicat,am citit doar 5 pagini si am retinut totul fara prea mari batai de cap.
-
De ce e la gunoi?
-
Atacurile de tip Blind SQLi sunt definite prin executarea unor anumite comenzi specifice pentru a ob?ine, de cele mai multe ori, acces la date importante de pe siteul ?int?.
Când un atactor execut? atacuri de tip SQLi, cateodat? serverul r?spunde cu mesaje de eroare din baza de date a serverului, spunând c? sintaxa este incorect?. Injec?ia SQL de tip BLIND este similar? unei injec?ii simple SQL, cu exceptia c? in loc ca atacatorul sa vad? mesaje de eroare, el vede o pagin? pre-stabilit? de c?tre developer . Asta face ca atacurile de tip BLIND s? fie mai dificil de performat, ins? nu imposibil. Atacatorul inc? poate s? fure date prin interogarea bazei de date cu intreb?ri adev?rat sau fals .
METODE DE INTEROGARE ” ADEV?RAT SAU FALS? ” – Con?inutul (in)vizibil
Exemplu de URL: www.siteulmeu.com/articol.php?id=2 trimite urm?toarea comand? catre server:
SELECT titlu, continut, descriere FROM articole WHERE ID = 2
Atacatorul poate trimite orice tip (chiar ?i invalid) de query, care va face con?inutul paginii s? dispar?:
www.siteulmeu.com/articol.php?id=2 AND 1=2
Care va face queryul final s? arate a?a:
SELECT titlu, continut, descriere FROM articole WHERE ID = 2 AND 1=2
In caz c? aplicatia e vulnerabil? la Blind SQL Injection, pagina nu va arata nimic in cazul 1=2, dup? cum am spus.Ins?, in cazul trimiterii unui query corect, pagina va fi afi?at? in mod normal:
www.siteulmeu.com/articol.php?id=2 AND 1=1
?sta e finalul articolului, ?i am observat cum atacatorul poate distinge aplica?iile vulnerabile de cele securizate printr-o serie de intrebari adev?rat sau fals.
Stiu,nu cred ca e prea bun,insa e primul meu tutorial ,si as aprecia niste sfaturi.
Multumesc !
-
M-as baga si eu pe aria de securitate,stiu SQLi GET,XSS,LFI,RFI ...
-
Tu doar ai scris RST pe poza asta:
http://www.wallbest.com/wallpapers/1280x720-720p/glass-matrix.jpg
-
Parametru: user
Tip SQLi: POST
Data:
'+ (select convert(int,CHAR(95)+CHAR(33)+CHAR(64)+CHAR(50)+CHAR(100)+CHAR(105)+CHAR(108)+CHAR(101)+CHAR(109)+CHAR(109)+CHAR(97)) FROM syscolumns) +'
Parametru: user
Tip vuln: XSS POST
Post data:
'"--></style></script><script>alert(0x0002A1)</script>
-
http://mytest-php.web44.net/login.php?pass=3&user='%2B%20(select+convert(int,CHAR(95)%2BCHAR(33)%2BCHAR(64)%2BCHAR(50)%2BCHAR(100)%2BCHAR(105)%2BCHAR(108)%2BCHAR(101)%2BCHAR(109)%2BCHAR(109)%2BCHAR(97))+FROM+syscolumns)%20%2B'
-
http://mytest-php.web44.net/login.php?pass=%27%2B%20%28select+convert%28int,CHAR%2895%29%2BCHAR%2833%29%2BCHAR%2864%29%2BCHAR%2850%29%2BCHAR%28100%29%2BCHAR%28105%29%2BCHAR%28108%29%2BCHAR%28101%29%2BCHAR%28109%29%2BCHAR%28109%29%2BCHAR%2897%29%29+FROM+syscolumns%29%20%2B%27&user=3
-
Nu am stiut ca mai sunt postate,am sa dau search data viitoare.
-
-
Deja? Aoleu da ce e Cancan-ul cu ochii pe noi . Le e frica
Vor stiri despre polonic .
-
Ministerul Transporturilor
in XSS (cross site scripting)
Posted
Am completat SQLi-ul,insa nu gasesc nenorocitul de admin panel..