не буду приводить вектор атаки
а приведу часть данных из таблицы dle_users БД форума

name, password, fullname
admin, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!d8d4, Венера
Nodir, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!fd8c, Нодир
bem_news, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!086a, Венера

(прим: !!! - намеренно скрытые символы)

Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.

Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.

На Вашем сайте форма выдает мне что
https://img.uforum.uz/images/qyumqvr2681221.jpeg
хотя все правильно заполнил

сообщать это администраторам bem.uz или разработчикам сочел безполезным. Т.к. у них как бы есть защита от такого рода аттак, все тупо написано условием:если есть символ "'" в параметре $_GET(i) то вывести "Hacking attempt" иначе .... (нормальное отображение)
И все что не входит в условие не являяется "Hacking attempt".
Либо предположительно это сделано с целью причинить вред системе со стороны обиженного и уволенного сотрудника (web-мастера) (в случае если его уволили)

На то и был (я думаю) открыт раздел "Информационная безопасность", что бы дать всем знать об уязвимом сайте, и опередить всяких UzAnonymous в и Alban цев которые (ничего не знают кроме как тупа использовать готовые инструменты и делать deface) ничего не умеют.

Я думаю найдется профессиональный хакер, который обнаружив данную уязвимость будет использовать ее более эффективно и при это никто об этом ничего не узнает. Ну например Вы, как то зашли на сайт, а там 0-day exploit, ваш антивирус молчит, но ваш компьютер уже захвачен.

Я лишь хотел всех об предупредить :187:

не буду открывать новую тему. на avtech.uz тоже есть SQL инъекция поскорее бы закрыли мало ли.

Если возникают сложности с отправкой сообщений об инциденте с веб-сайта Службы UZ-CERT, Вы можете написать нам на электронный почтовый ящик cert@uzinfocom.uz. Ни одно Ваше сообщение не останется без внимания. Обязательно будут приняты соответствующие меры. Владельцев уязвимых ресурсов оповестим и окажем всяческое содействие и помощь по устранению уязвимостей и угроз информационной безопасности.

как научиться делать SQL инъекцию?

как научиться делать SQL инъекцию?
Купи шприц, набери в него воздуха и кольни себе в вену.

Купи шприц, набери в него воздуха и кольни себе в вену.
Щас нас тоже занесут в реестр запрещенных сайтов, за пропаганду...

как научиться делать SQL инъекцию?

Гугл в другом окне

Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.

Ну уже привлекает внимание и владельца ресурса и Церта. Дальше - дело техники.

как научиться делать SQL инъекцию?Сначала нужно научиться что такое SQL.

что такое SQL.
что такое sql?

5barmak, забанить?

хотел донести до админов av-tech. но лучше бы не сделал. они не знают даже что это такое :D
Закир Зиганшин (15:27) :
добрый день

None (15:28) :
у вас на сайте есть скл инъекция

Закир Зиганшин (15:28) :
что это

Ботир None (15:28) :
увязимость для взлома

Закир Зиганшин (15:29) :
а вам зачем

None (15:29) :
я это для вас говорю
а хотя мне поф

и на этом закончился разговор

тем временем. вот что произошло у них на сайте )
хотя не знаю кто это сделал и что сделал
Закир Зиганшин (17.12.2012 21:37) :
добрый вечер

Закир Зиганшин (17.12.2012 21:37) :
это ваших рук дело на нашем сайте

Закир Зиганшин (17.12.2012 21:37) :
если да то исправите пожалусто как было

Закир Зиганшин (17.12.2012 21:38) :
у меня нет врагов и не хочу чтобы они были

Ни одно доброе дело не останется безнаказанным! :)