Кот в чате

google · 1 Апр 2015

привет всем сейчас выхожу на свой сайт а там в чате написано:
\' and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,\' \',pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and \
Обьясните что это и какую опасность она представляет?

Андрей · 1 Апр 2015

google написал(а):
привет всем сейчас выхожу на свой сайт а там в чате написано:
\' and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,\' \',pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and \
Обьясните что это и какую опасность она представляет?

Иньекция с помощью которой можно вытащить данные из бд.

google · 1 Апр 2015

а как узнать вытащил этот товарищь что-нибудь или нет...сайт работает штатно и выплаты идут нормально

MrMatnoos · 1 Апр 2015

google написал(а):
а как узнать вытащил этот товарищь что-нибудь или нет...сайт работает штатно и выплаты идут нормально

Поверь если бы инъекция сработала, то во первых, ты бы не удивил этот код, а во вторых, ты бы не зашёл на свою ферму и потерял бы все деньги.. Так что радуйся!

MrMatnoos · 1 Апр 2015

google написал(а):
привет всем сейчас выхожу на свой сайт а там в чате написано:
\' and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,\' \',pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and \
Обьясните что это и какую опасность она представляет?

Название темы "Кот в чате" смени на "Код в чате"

google · 1 Апр 2015

дак я про это и написал что это был кот а не код,а почему в чате и что через чат можно зайти в базу?

MrMatnoos · 1 Апр 2015

google написал(а):
дак я про это и написал что это был кот а не код,а почему в чате и что через чат можно зайти в базу?

он хотел через эту инъекцию вытащить логин и пароль от админки из db_config, но раз ты увидел этот код, значит он не сработал, а отправился как сообщение.

google · 1 Апр 2015

дак все уже должны знать что логин и пароль от админки лежат в файле а не в базе и файл защищен айпишником

MrMatnoos · 1 Апр 2015

google написал(а):
дак все уже должны знать что логин и пароль от админки лежат в файле а не в базе и файл защищен айпишником

господи не задавайся... лучше радуйся, не ломается твой чат инъекцией. Советую другие модули тоже проверить самому этим кодом.

kvozimir · 2 Апр 2015

google написал(а):
дак все уже должны знать что логин и пароль от админки лежат в файле а не в базе и файл защищен айпишником

ты это сделал а новички "школьники " этого не делают и потом ноют что из взломали

а насчет чата как тебе у же сказали радуйся у тебя нет дыры в чате и иньекция не проходит,тем более через иньекцию можно узнать не только лог и пасс админки а так же данные от любого акка

google · 2 Апр 2015

а подробнее можно квозимир? так чтобы понять суть -как вообще так можно заглянуть в бд или опять че через ту злочную папку tiny_mce или eval

kvozimir · 2 Апр 2015

google написал(а):
а подробнее можно квозимир? так чтобы понять суть -как вообще так можно заглянуть в бд или опять че через ту злочную папку tiny_mce или eval

через код иньекции примерно такой же который ты написал тут но это в том случае если есть дыра

Rozario · 3 Апр 2015

Mrmatnoos написал(а):
Название темы "Кот в чате" смени на "Код в чате"

Анологичный код и у меня оказался в чате:
&prime¦ and ( select 1 from ( select count(*), concat ( ( select (select concat(admin,&prime¦ &prime¦,pass) from db_config where id = 1) from information_schema.tables limit 0,1 ), floor(rand(0)*2) ) x from information_schema.tables group by x) a ) and &prime¦

Суть ещё в том что авторизация перестала работать

google · 3 Апр 2015

Значит тебя тоже пытались вскрыть и раз сообщение вышло в чате значит защита есть

google · 3 Апр 2015

Вчера мне очень хороший прогер сказал что если ты даешь доступ к фтп то можно будет зайти в бд без труда применив некоторые иньекции для входа а так очень тяжело или невозможно практически

progamekg · 3 Апр 2015

google написал(а):
Вчера мне очень хороший прогер сказал что если ты даешь доступ к фтп то можно будет зайти в бд без труда применив некоторые иньекции для входа

Что за бред? Если я к примеру получу доступ к фтп, то я просто напросто вытащю данные для входа в БД. После чего спокойно без каких-либо иньекций зайду в саму БД, и весь сайт будет в моём распоряжении...

google написал(а):
а так очень тяжело или невозможно практически

Ну-ну

google · 3 Апр 2015

Если дыры есть то зайдешь конечно а если их нет то как? Поделись наукой или хотябы дай инфы или опять отправишь на ссылку где вискас пишет как защитить сайт от взлома.

progamekg · 3 Апр 2015

google написал(а):
Если дыры есть то зайдешь конечно а если их нет то как? Поделись наукой или хотябы дай инфы или опять отправишь на ссылку где вискас пишет как защитить сайт от взлома.

Я тебе так скажу, дыры на каждом сайте есть...

google · 4 Апр 2015

Да я знаю что есть а самая большая в голове

vogman · 20 Июн 2015

как правильно прописать код для проверки своего сайта насколько я понимаю защита исоверкала код подставил слеши и тд дайте рабочую иньекцию у кого есть