HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 10.11.2009, 23:09
mr.celt
Участник форума
Регистрация: 06.02.2008
Сообщений: 110
С нами: 9610572

Репутация: 32
По умолчанию

Цитата:
Сообщение от Ins3t  
Почему же не может?
Еще как может, если разрешен удаленный доступ к БД.
Так я и подозреваю такую ситуацию) Ну, ссылка то будет, чтоб посмотреть?
 
Ответить с цитированием

  #12  
Старый 12.11.2009, 17:11
1ten0.0net1
Time out
Регистрация: 28.11.2005
Сообщений: 547
С нами: 10762826

Репутация: 1348


По умолчанию

1) Увы, бывает и такое, что параметр неуязвим.. Или же фильтр нельзя обойти, не имея исходников. Как варинт - пробуй любой fuzzer - он тебе перепробует всё, что можно и сообщит о неадекватных реакциях на параметры.
Попробуй вместо
Default.aspx?param=id_user;10;2009;RU
Передать
Default.aspx?param=id_user;10;2009;RU&param=';das' ;'a;'
Вообщем, поэкспериментируй, результаты двойной инициализации параметра могут приятно удивить.

2) А что тебя удивляет? В PHP, например, ведь не только $_POST может использоваться, но и $_REQUEST и ещё великое множество массивов и супермассивов.

3) Вероятнее всего или включена опция magic_quotes в настройках php, или используется функция, аналогичная addslashes().

4) Пытался запихать туда фразу <?php echo $login; ?> ... Это уязвимость класса XSS (вывод параметра в html код), а не code execution посредством записи кода в файл. PHP код в таком случае не сработает.
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Передача параметров в приложение POS_troi С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby 7 28.07.2009 13:45
Китай: фильтрация "вредных" сайтов все равно будет проводиться tux Мировые новости. Обсуждения. 1 04.07.2009 06:55
Поднять Soscks с авторизацией без возможности определения параметров запуска. nikp Анонимность 0 02.07.2009 18:34
SCC Программа для смены параметров системы Serber Разное - Покупка, продажа, обмен 14 01.06.2009 23:59
передача параметров в строке j0y PHP 13 13.06.2005 23:50



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.