Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

SQL-inj? Помогите разобраться

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Уязвимости] >> SQL-inj? Помогите разобраться
Имя
Сообщение << Старые топики   Новые топики >>
SQL-inj? Помогите разобраться - 2011-08-09 02:03:51.270000   
GothX

Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
 Всем привет. Уже долгое время веду борьбу с одним сайтом, сегодня засунул его в XSpider.Там определилась SQL-инъекция такого вида: http://site.ru/js/name.js?1
Ну, понятное дело, там много букв кода, но спидер почему-то выделил вот эти строки:

{
a = eval('('+$data+')');
} catch(e){
fundux.notice(['<u>JSON PARSE ERROR:</u> '+$data], []);
return false;
}
return a;
},
jsonEncode : function($data){
var parts = [];
var is_list = (Object.prototype.toString.apply(arr) === '[object Array]');
for(var key in arr) {
var value = arr[key];
if(typeof value == "object") {
if(is_list) parts.push(array2json(value));
else parts[key] = array2json(value);
}

Как отсюда можно вобще что-либо вытянуть?) Если нужно, могу предоставить весь код
Post #: 1
RE: SQL-inj? Помогите разобраться - 2011-08-09 12:01:16.330000   
r1dex

Сообщений: 304
Оценки: 0
Присоединился: 2008-12-09 01:55:32.130000
 Уничтожь свой XSpider…
Post #: 2
RE: SQL-inj? Помогите разобраться - 2011-08-09 17:03:58.906666   
wekly

Сообщений: 505
Оценки: 0
Присоединился: 2011-07-08 14:35:05.483333
 И воспользуйся Jsky!
Post #: 3
RE: SQL-inj? Помогите разобраться - 2011-08-09 18:07:24.126666   
GothX

Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
 Спасибо, конечно, за советы, а по существу?
Post #: 4
RE: SQL-inj? Помогите разобраться - 2011-08-09 19:17:24.533333   
r1dex

Сообщений: 304
Оценки: 0
Присоединился: 2008-12-09 01:55:32.130000
Java script… так как и куда ты собираешь вставить скул запрос?
Post #: 5
RE: SQL-inj? Помогите разобраться - 2011-08-09 19:49:13.283333   
GothX

Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
 Ну в ява-скрипт ясно-понятно запрос не вставишь, просто этот участок кода расположен в модуле запросов к БД. Может быть, каким-то образом можно эти запросы перехватить и вытянуть логин-пасс от БД?
Post #: 6
RE: SQL-inj? Помогите разобраться - 2011-08-10 14:51:34.776666   
nullJs

Сообщений: 7
Оценки: 0
Присоединился: 2011-07-23 23:09:52.976666
 Jsky - та ещё ерунда
куда лучше Acunetix Web Vulnerability Scanner
Post #: 7
RE: SQL-inj? Помогите разобраться - 2011-08-17 14:56:43.630000   
Vops

Сообщений: 33
Оценки: 0
Присоединился: 2009-03-09 10:59:09.093333
 Jsky - по мне нормально ищет!
Post #: 8
Страниц:  [1]
Все форумы >> [Уязвимости] >> SQL-inj? Помогите разобраться







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.