נושאים פעיליםנושאים פעילים  הצגת רשימה של חברי הפורוםרשימת משתמשים  חיפוש בפורוםחיפוש  עזרהעזרה
  הרשמההרשמה  התחברותהתחברות RSS עדכונים
אבטחת מידע
RSS UnderWarrior Forums : RSS אבטחת מידע
נושא

נושא: גילוי סכום ההצעה

שליחת תגובהשליחת נושא חדש
כותב
הודעה << נושא קודם | נושא הבא >>
If_You
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 06 July 2007 בשעה 22:05 | IP רשוּם
ציטוט If_You

שלום!
יש עכשיו אתרים חדשים שההצעה הכי גבוהה שלא הוצעה קודם לוקחת כמו האתר הזה:
index.php?sell=2842
תראו שסכום ההצעה לא נחשף רק בסוף המכרז...
עכשיו בקוד מקור יש קוד ענקי ב js ורציתי לדעת עם הסכומים של ההצעות נשמרים במקום אחר ואז שנגמר המכרז מעבירים אותם לדף הזה וחושפים אותם או שזה נמצא במסד נתונים ופשוט שמסתיים המכרז זה נחשף אוטומטית או שזה בכלל קשור לקוד js .
בכל מקרה מצאתי כמה דברים
engine.php?usr=123&req='

engine3.php?updated=1183748456&newpage=1'&refresh=1'&rnd=18'6768348254&req_sale=2 842&page=1'&rtick=118374'8608

בכל מקרה יש אפשרות לגלות את ההצעות?
וכמה שזה ישמע דפוק זה ממש לא כדי לרמות זה רק בשביל הידע...ואני רציני:)

עריכה: הדומיין והקישור הוסרו to be on the safe side of the law
חזרה לתחילת העמוד הצג את כרטיס החבר של If_You חפש הודעות אחרות של If_You בקר בדף הבית של If_You
 
אורח
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 06 July 2007 בשעה 22:39 | IP רשוּם
ציטוט אורח

אני אציין שאני לא ממש בתחום של אבטחת מידע.

אם זה באמת ללימוד בנוסף ללימוד שלך פנה לבעלי האתר, לא יקח להם יותר מידי זמן או כסף לתקן את הפרצה הספציפית הזאת.

אם לא אז הייתי ממליץ למחוק את הנושא הזה, ואם אתה לא יודע את מה ששאלת עדיף שלא תיכנס לזה כי יש דברים אחרים יותר חשובים כמו לא לעשות שטויות של מתבגרים ולהיתפס.

א.  אתר ממש ממש מפגר אם הוא לא בודק ל-sql injection ב-ajax, במיוחד שזה אתר
    שעוסק בעניינים שקשורים לכסף.

ב.  קצת מחקר: גילוי טבלאות/עמודות ויצירת Join אני מניח (-- בסוף).
חזרה לתחילת העמוד הצג את כרטיס החבר של אורח חפש הודעות אחרות של אורח בקר בדף הבית של אורח
 
If_You
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 06 July 2007 בשעה 22:56 | IP רשוּם
ציטוט If_You

נראה לי שמצאתי Blind sql injection
רק אני לא יודע ממש לנצל את זה...
יש טקסט או משהוא שמסביר איך לנצל Blind sql injection?

חזרה לתחילת העמוד הצג את כרטיס החבר של If_You חפש הודעות אחרות של If_You בקר בדף הבית של If_You
 
אורח
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 06 July 2007 בשעה 23:12 | IP רשוּם
ציטוט אורח

גוגל תוצאה ראשונה מיקוד על עמודים מספר 5 | 6
חזרה לתחילת העמוד הצג את כרטיס החבר של אורח חפש הודעות אחרות של אורח בקר בדף הבית של אורח
 
If_You
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 07 July 2007 בשעה 00:23 | IP רשוּם
ציטוט If_You

אני חושב שמצאתי blind sql injection
user=111-222-1933email@address.com&pass1=111-222-1933email@address.com&pass2=111-222-1933email@address.com&f name=111-222-1933email@address.com'+and+'1'%3D'0&lname=111-222-1933email@address.com&birth=1900&city=%E0%E1% E5%20%E2%E5%F9&addr=111-222-1933email@address.com&zip=111-222-1933email@address.com&phone=111-222-1933email@ address.com&celular=111-222-1933email@address.com&email=111-222-1933email@address.com&posted_from=register%2 Einc%2Ephp&accept_rules=off&Submit=%EB%F0%E9%F1%E4

בכל אחד מהמשתנים האלו אני חושב שיש blind sql injection אבל הוספתי במשתנה fname '+and+'1'%3D'0  וזה לא החזיר שגיאה...
איך ממשיכים לנצל?
חזרה לתחילת העמוד הצג את כרטיס החבר של If_You חפש הודעות אחרות של If_You בקר בדף הבית של If_You
 

אם ברצונך להגיב לנושא זה עליך קודם להתחבר
אם אינך רשום/ה כבר עליך להרשם

  שליחת תגובהשליחת נושא חדש
גרסת הדפסה גרסת הדפסה

קפיצה לפורום
אינך יכול/ה לשלוח נושאים חדשים בפורום זה
אינך יכול/ה להגיב לנושאים בפורום זה
אינך יכול/ה למחוק את הודעותיך ותגוביך בפורום זה
אינך יכול/ה לערוך את הודעותיך ותגובותיך בפורום זה
אינך יכול/ה לצור סקרים בפורום זה
אינך יכול/ה להצביע בסקרים בפורום זה