google
Местный
- Сообщения
- 66
- Реакции
- 3
привет всем сейчас выхожу на свой сайт а там в чате написано:
\' and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,\' \',pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and \
Обьясните что это и какую опасность она представляет?
\' and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,\' \',pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and \
Обьясните что это и какую опасность она представляет?
Андрей
Участник
- Сообщения
- 241
- Реакции
- 55
Иньекция с помощью которой можно вытащить данные из бд.google написал(а):привет всем сейчас выхожу на свой сайт а там в чате написано:
\' and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,\' \',pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and \
Обьясните что это и какую опасность она представляет?
google
Местный
- Сообщения
- 66
- Реакции
- 3
MrMatnoos
Участник
Поверь если бы инъекция сработала, то во первых, ты бы не удивил этот код, а во вторых, ты бы не зашёл на свою ферму и потерял бы все деньги.. Так что радуйся!google написал(а):а как узнать вытащил этот товарищь что-нибудь или нет...сайт работает штатно и выплаты идут нормально
Последнее редактирование:
MrMatnoos
Участник
Название темы "Кот в чате" смени на "Код в чате"google написал(а):привет всем сейчас выхожу на свой сайт а там в чате написано:
\' and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,\' \',pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and \
Обьясните что это и какую опасность она представляет?
google
Местный
- Сообщения
- 66
- Реакции
- 3
MrMatnoos
Участник
он хотел через эту инъекцию вытащить логин и пароль от админки из db_config, но раз ты увидел этот код, значит он не сработал, а отправился как сообщение.google написал(а):дак я про это и написал что это был кот а не код,а почему в чате и что через чат можно зайти в базу?
google
Местный
- Сообщения
- 66
- Реакции
- 3
MrMatnoos
Участник
господи не задавайся... лучше радуйся, не ломается твой чат инъекцией. Советую другие модули тоже проверить самому этим кодом.google написал(а):дак все уже должны знать что логин и пароль от админки лежат в файле а не в базе и файл защищен айпишником
ты это сделал а новички "школьники " этого не делают и потом ноют что из взломалиgoogle написал(а):дак все уже должны знать что логин и пароль от админки лежат в файле а не в базе и файл защищен айпишником
а насчет чата как тебе у же сказали радуйся у тебя нет дыры в чате и иньекция не проходит,тем более через иньекцию можно узнать не только лог и пасс админки а так же данные от любого акка
google
Местный
- Сообщения
- 66
- Реакции
- 3
через код иньекции примерно такой же который ты написал тут но это в том случае если есть дыраgoogle написал(а):а подробнее можно квозимир? так чтобы понять суть -как вообще так можно заглянуть в бд или опять че через ту злочную папку tiny_mce или eval
Rozario
Местный
- Сообщения
- 38
- Реакции
- 8
Анологичный код и у меня оказался в чате:Mrmatnoos написал(а):Название темы "Кот в чате" смени на "Код в чате"
&prime¦ and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,&prime¦ &prime¦,pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and &prime¦
Суть ещё в том что авторизация перестала работать
google
Местный
- Сообщения
- 66
- Реакции
- 3
google
Местный
- Сообщения
- 66
- Реакции
- 3
progamekg
Участник
- Сообщения
- 89
- Реакции
- 28
Что за бред? Если я к примеру получу доступ к фтп, то я просто напросто вытащю данные для входа в БД. После чего спокойно без каких-либо иньекций зайду в саму БД, и весь сайт будет в моём распоряжении...google написал(а):Вчера мне очень хороший прогер сказал что если ты даешь доступ к фтп то можно будет зайти в бд без труда применив некоторые иньекции для входа
Ну-нуgoogle написал(а):а так очень тяжело или невозможно практически
google
Местный
- Сообщения
- 66
- Реакции
- 3
progamekg
Участник
- Сообщения
- 89
- Реакции
- 28
Я тебе так скажу, дыры на каждом сайте есть...google написал(а):Если дыры есть то зайдешь конечно а если их нет то как? Поделись наукой или хотябы дай инфы или опять отправишь на ссылку где вискас пишет как защитить сайт от взлома.
google
Местный
- Сообщения
- 66
- Реакции
- 3