SQL-inj? Помогите разобраться
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
SQL-inj? Помогите разобраться - 2011-08-09 02:03:51.270000
|
|
|
GothX
Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
|
Всем привет. Уже долгое время веду борьбу с одним сайтом, сегодня засунул его в XSpider.Там определилась SQL-инъекция такого вида: http://site.ru/js/name.js?1 Ну, понятное дело, там много букв кода, но спидер почему-то выделил вот эти строки: { a = eval('('+$data+')'); } catch(e){ fundux.notice(['<u>JSON PARSE ERROR:</u> '+$data], []); return false; } return a; }, jsonEncode : function($data){ var parts = []; var is_list = (Object.prototype.toString.apply(arr) === '[object Array]'); for(var key in arr) { var value = arr[key]; if(typeof value == "object") { if(is_list) parts.push(array2json(value)); else parts[key] = array2json(value); } Как отсюда можно вобще что-либо вытянуть?) Если нужно, могу предоставить весь код
|
|
|
RE: SQL-inj? Помогите разобраться - 2011-08-09 12:01:16.330000
|
|
|
r1dex
Сообщений: 304
Оценки: 0
Присоединился: 2008-12-09 01:55:32.130000
|
Уничтожь свой XSpider…
|
|
|
RE: SQL-inj? Помогите разобраться - 2011-08-09 17:03:58.906666
|
|
|
wekly
Сообщений: 505
Оценки: 0
Присоединился: 2011-07-08 14:35:05.483333
|
И воспользуйся Jsky!
|
|
|
RE: SQL-inj? Помогите разобраться - 2011-08-09 18:07:24.126666
|
|
|
GothX
Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
|
Спасибо, конечно, за советы, а по существу?
|
|
|
RE: SQL-inj? Помогите разобраться - 2011-08-09 19:17:24.533333
|
|
|
r1dex
Сообщений: 304
Оценки: 0
Присоединился: 2008-12-09 01:55:32.130000
|
Java script… так как и куда ты собираешь вставить скул запрос?
|
|
|
RE: SQL-inj? Помогите разобраться - 2011-08-09 19:49:13.283333
|
|
|
GothX
Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
|
Ну в ява-скрипт ясно-понятно запрос не вставишь, просто этот участок кода расположен в модуле запросов к БД. Может быть, каким-то образом можно эти запросы перехватить и вытянуть логин-пасс от БД?
|
|
|
RE: SQL-inj? Помогите разобраться - 2011-08-10 14:51:34.776666
|
|
|
nullJs
Сообщений: 7
Оценки: 0
Присоединился: 2011-07-23 23:09:52.976666
|
Jsky - та ещё ерунда куда лучше Acunetix Web Vulnerability Scanner
|
|
|
RE: SQL-inj? Помогите разобраться - 2011-08-17 14:56:43.630000
|
|
|
Vops
Сообщений: 33
Оценки: 0
Присоединился: 2009-03-09 10:59:09.093333
|
Jsky - по мне нормально ищет!
|
|
|
|
|