Просмотр полной версии : bem.uz - SQL Injection
не буду приводить вектор атаки
а приведу часть данных из таблицы dle_users БД форума
name, password, fullname
admin, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!d8d4, Венера
Nodir, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!fd8c, Нодир
bem_news, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!086a, Венера
(прим: !!! - намеренно скрытые символы)
Dmitry Paleev
16.12.2012, 00:44
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
На Вашем сайте форма выдает мне что
https://img.uforum.uz/images/qyumqvr2681221.jpeg
хотя все правильно заполнил
сообщать это администраторам bem.uz или разработчикам сочел безполезным. Т.к. у них как бы есть защита от такого рода аттак, все тупо написано условием:если есть символ "'" в параметре $_GET(i) то вывести "Hacking attempt" иначе .... (нормальное отображение)
И все что не входит в условие не являяется "Hacking attempt".
Либо предположительно это сделано с целью причинить вред системе со стороны обиженного и уволенного сотрудника (web-мастера) (в случае если его уволили)
На то и был (я думаю) открыт раздел "Информационная безопасность", что бы дать всем знать об уязвимом сайте, и опередить всяких UzAnonymous в и Alban цев которые (ничего не знают кроме как тупа использовать готовые инструменты и делать deface) ничего не умеют.
Я думаю найдется профессиональный хакер, который обнаружив данную уязвимость будет использовать ее более эффективно и при это никто об этом ничего не узнает. Ну например Вы, как то зашли на сайт, а там 0-day exploit, ваш антивирус молчит, но ваш компьютер уже захвачен.
Я лишь хотел всех об предупредить :187:
не буду открывать новую тему. на avtech.uz тоже есть SQL инъекция поскорее бы закрыли мало ли.
Dmitry Paleev
16.12.2012, 11:39
Если возникают сложности с отправкой сообщений об инциденте с веб-сайта Службы UZ-CERT, Вы можете написать нам на электронный почтовый ящик cert@uzinfocom.uz. Ни одно Ваше сообщение не останется без внимания. Обязательно будут приняты соответствующие меры. Владельцев уязвимых ресурсов оповестим и окажем всяческое содействие и помощь по устранению уязвимостей и угроз информационной безопасности.
как научиться делать SQL инъекцию?
как научиться делать SQL инъекцию?
Купи шприц, набери в него воздуха и кольни себе в вену.
Азизбек Кадыров
16.12.2012, 14:11
Купи шприц, набери в него воздуха и кольни себе в вену.
Щас нас тоже занесут в реестр запрещенных сайтов, за пропаганду...
как научиться делать SQL инъекцию?
Гугл в другом окне
Djalolatdin Rakhimov
17.12.2012, 10:47
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
Ну уже привлекает внимание и владельца ресурса и Церта. Дальше - дело техники.
как научиться делать SQL инъекцию?Сначала нужно научиться что такое SQL.
что такое SQL.
что такое sql?
Eldar Ishimbaev
17.12.2012, 15:38
5barmak, забанить?
хотел донести до админов av-tech. но лучше бы не сделал. они не знают даже что это такое :D
Закир Зиганшин (15:27) :
добрый день
None (15:28) :
у вас на сайте есть скл инъекция
Закир Зиганшин (15:28) :
что это
Ботир None (15:28) :
увязимость для взлома
Закир Зиганшин (15:29) :
а вам зачем
None (15:29) :
я это для вас говорю
а хотя мне поф
и на этом закончился разговор
тем временем. вот что произошло у них на сайте )
хотя не знаю кто это сделал и что сделал
Закир Зиганшин (17.12.2012 21:37) :
добрый вечер
Закир Зиганшин (17.12.2012 21:37) :
это ваших рук дело на нашем сайте
Закир Зиганшин (17.12.2012 21:37) :
если да то исправите пожалусто как было
Закир Зиганшин (17.12.2012 21:38) :
у меня нет врагов и не хочу чтобы они были
Ни одно доброе дело не останется безнаказанным! :)
vBulletin® v3.8.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot