נושאים פעיליםנושאים פעילים  הצגת רשימה של חברי הפורוםרשימת משתמשים  חיפוש בפורוםחיפוש  עזרהעזרה
  הרשמההרשמה  התחברותהתחברות RSS עדכונים
אבטחת מידע
RSS UnderWarrior Forums : RSS אבטחת מידע
נושא

נושא: SQL INJ 1=2?

(נושא נעול נושא נעול)
שליחת תגובהשליחת נושא חדש
כותב
הודעה << נושא קודם | נושא הבא >>
flint
משתמש מתחיל
משתמש מתחיל


הצטרף / הצטרפה: 02 August 2007
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 02 August 2007 בשעה 23:38 | IP רשוּם
 

מוזר מאוד!!
למדתי קצת SQL INJ והבנתי את טכניקות הבסיס,
מצאתי אתר פריץ וכשהרצתי עליו "a' or 'a' ='a" הצלחתי להכנס כמנהל האתר.
אני מבין שזה קרה בגלל ההשוואה התמיד נכונה של A=A .
אז ניסיתי לגרום לשרת לתת הודעת שגיאה שאולי תחשוף לי פרטים חשובים, הרצתי את הקוד הבא:
a' or 'a'='b
וקרה משהו מפתיע מאוד! שוב נכנסתי כמנהל האתר למרות ההשואה הלא הגיונית!
אותו דבר גם עם מספרים.

עוד דבר מוזר הוא שההזרקה פועלת גם עם מזריקים רק דרך שדה הסיסמא.

מישהו יודע לתת הסבר?
חזרה לתחילת העמוד הצג את כרטיס החבר של flint חפש הודעות אחרות של flint
 
אורח
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 03 August 2007 בשעה 00:19 | IP רשוּם
 

קודם כל אם אפשר להזריק מהשדה של הסיסמא אז הסיסמאות שם לא מוצפנות.
חזרה לתחילת העמוד הצג את כרטיס החבר של אורח חפש הודעות אחרות של אורח בקר בדף הבית של אורח
 
אורח
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 03 August 2007 בשעה 08:40 | IP רשוּם
 

אני חושב בגלל שאתה משתמש במשפט תנאי כזה or יענו אם "a' לא נכון אז המסד יבדוק
'a' ='a"
אני לא בטוח שזה נכון אבל ככה אני חושב תנסה להזריק כול אחד מהם בנפרד
חזרה לתחילת העמוד הצג את כרטיס החבר של אורח חפש הודעות אחרות של אורח בקר בדף הבית של אורח
 
flint
משתמש מתחיל
משתמש מתחיל


הצטרף / הצטרפה: 02 August 2007
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 03 August 2007 בשעה 12:00 | IP רשוּם
 

האורח הראשון צודק.. הססמאות באמת לא מוצפנות אבל איך זה קשור?

ולא הבנתי מה השני אומר? אני יודע איך עובדת ההזרקה אני רק לא מבין למה היא עובדת כשהיא לא אמורה
חזרה לתחילת העמוד הצג את כרטיס החבר של flint חפש הודעות אחרות של flint
 
אורח
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 03 August 2007 בשעה 13:21 | IP רשוּם
 

היוזר/סיסמא של המנהל היא a ?
חזרה לתחילת העמוד הצג את כרטיס החבר של אורח חפש הודעות אחרות של אורח בקר בדף הבית של אורח
 
אורחת
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 03 August 2007 בשעה 14:05 | IP רשוּם
 

maybe the second time, it used a cookie from your computer?
 
you're lucky, this is an old bug. I've never been lucky to successfuly use it
 
mmmm
which software used the database you managed to hack, if I may ask?
 
 
 
חזרה לתחילת העמוד הצג את כרטיס החבר של אורחת חפש הודעות אחרות של אורחת בקר בדף הבית של אורחת
 
flint
משתמש מתחיל
משתמש מתחיל


הצטרף / הצטרפה: 02 August 2007
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 03 August 2007 בשעה 17:40 | IP רשוּם
 

היוזר או הסיסמא הם לא a
ואין סיכוי שהסיסמא נשמרה בעוגיות...
חזרה לתחילת העמוד הצג את כרטיס החבר של flint חפש הודעות אחרות של flint
 
shoshan
מנהל האתר
מנהל האתר
סמל אישי

הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
נשלח בתאריך: 03 August 2007 בשעה 18:09 | IP רשוּם
 

מי אמר שהסיסמא נשמרה בעוגיות, היותך מחובר נשמרת ברוב המוחלט של הפעמים בעוגיות (שלפעמים מצביעות על session)

__________________
עד מתי רשעים יעלוזו?

עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
חזרה לתחילת העמוד הצג את כרטיס החבר של shoshan חפש הודעות אחרות של shoshan בקר בדף הבית של shoshan
 
flint
משתמש מתחיל
משתמש מתחיל


הצטרף / הצטרפה: 02 August 2007
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 03 August 2007 בשעה 21:11 | IP רשוּם
 

לא, לא אני לא נשאר מחובר אלא מתחבר עם הזרקה לא הגיונית.
עשיתי עוד ניסיון שכולל מחיקת הCOOKIES ועדיין זה עבד.
חזרה לתחילת העמוד הצג את כרטיס החבר של flint חפש הודעות אחרות של flint
 
11010010110
פורומיסט על
פורומיסט על
סמל אישי

הצטרף / הצטרפה: 23 April 2006
משתמש: מנותק/ת
הודעות: 2621
נשלח בתאריך: 04 August 2007 בשעה 00:18 | IP רשוּם
 

מה קורה אם אתה כותב שם סתם שטויות ולא sql injection ?
חזרה לתחילת העמוד הצג את כרטיס החבר של 11010010110 חפש הודעות אחרות של 11010010110
 
flint
משתמש מתחיל
משתמש מתחיל


הצטרף / הצטרפה: 02 August 2007
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 04 August 2007 בשעה 00:52 | IP רשוּם
 

אז הוא אומר שהסיסמא לא נכונה
חזרה לתחילת העמוד הצג את כרטיס החבר של flint חפש הודעות אחרות של flint
 
Fhacker
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 22 October 2007 בשעה 01:56 | IP רשוּם
 

אחי איך מזהים אתר פריץ?
חזרה לתחילת העמוד הצג את כרטיס החבר של Fhacker חפש הודעות אחרות של Fhacker בקר בדף הבית של Fhacker
 

מצטערים, אינך יכול/ה להגיב לנושא זה.
נושא זה נעול.

  שליחת תגובהשליחת נושא חדש
גרסת הדפסה גרסת הדפסה

קפיצה לפורום
אינך יכול/ה לשלוח נושאים חדשים בפורום זה
אינך יכול/ה להגיב לנושאים בפורום זה
אינך יכול/ה למחוק את הודעותיך ותגוביך בפורום זה
אינך יכול/ה לערוך את הודעותיך ותגובותיך בפורום זה
אינך יכול/ה לצור סקרים בפורום זה
אינך יכול/ה להצביע בסקרים בפורום זה