bem.uz - SQL Injection
не буду приводить вектор атаки
а приведу часть данных из таблицы dle_users БД форума name, password, fullname admin, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!d8d4, Венера Nodir, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!fd8c, Нодир bem_news, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!086a, Венера (прим: !!! - намеренно скрытые символы) |
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
|
Цитата:
https://img.uforum.uz/images/qyumqvr2681221.jpeg хотя все правильно заполнил сообщать это администраторам bem.uz или разработчикам сочел безполезным. Т.к. у них как бы есть защита от такого рода аттак, все тупо написано условием: если есть символ "'" в параметре $_GET(i) то вывести "Hacking attempt" иначе .... (нормальное отображение)И все что не входит в условие не являяется "Hacking attempt". Либо предположительно это сделано с целью причинить вред системе со стороны обиженного и уволенного сотрудника (web-мастера) (в случае если его уволили) На то и был (я думаю) открыт раздел "Информационная безопасность", что бы дать всем знать об уязвимом сайте, и опередить всяких UzAnonymous в и Alban цев которые (ничего не знают кроме как тупа использовать готовые инструменты и делать deface) ничего не умеют. Я думаю найдется профессиональный хакер, который обнаружив данную уязвимость будет использовать ее более эффективно и при это никто об этом ничего не узнает. Ну например Вы, как то зашли на сайт, а там 0-day exploit, ваш антивирус молчит, но ваш компьютер уже захвачен. Я лишь хотел всех об предупредить :187: |
не буду открывать новую тему. на avtech.uz тоже есть SQL инъекция поскорее бы закрыли мало ли.
|
Если возникают сложности с отправкой сообщений об инциденте с веб-сайта Службы UZ-CERT, Вы можете написать нам на электронный почтовый ящик cert@uzinfocom.uz. Ни одно Ваше сообщение не останется без внимания. Обязательно будут приняты соответствующие меры. Владельцев уязвимых ресурсов оповестим и окажем всяческое содействие и помощь по устранению уязвимостей и угроз информационной безопасности.
|
Оффтоп: как научиться делать SQL инъекцию? |
Оффтоп: Цитата:
|
Цитата:
Оффтоп: Щас нас тоже занесут в реестр запрещенных сайтов, за пропаганду... |
Цитата:
Оффтоп: Гугл в другом окне |
Цитата:
|
Текущее время: 13:21. Часовой пояс GMT +5. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод:
OOO «Единый интегратор UZINFOCOM»