GothX
Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
|
Всем привет!
Наткнулся сейчас на сервис по отправке СМС с подменой номера отправителя. Сервис вроде как рабочий, честный, однако сам отправлять не пробовал (1 смс стоит 5 WMR). Когда вы перечисляете деньги, вам приходит ключ, который нужно ввести в соответствующее поле после номеров получателя/отправителя и текста сообщения.
На полном автомате я ввел в это поле одинарную кавычку, нажал "Отправить SMS" и увидел алерт:
MySQL Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' AND `balance` > 0 LIMIT 1' at line 1 вместо обычного "Код не найден!".
Недолго думая, я написал в это поле следующую строку:
' OR '1'='1
Нажал "Отправить", отправка сообщения вроде как пошла, но через некоторое время вылетел алерт "Ошибка отправки сообщения".
В поле для ключа есть ограничение по символам, но это можно исправить через исходный код странички, поэтому это не проблема.
Хотелось бы выслушать, есть ли у кого какие мысли по этому поводу.
Вот сам сервис: http://sms-bomber.ru/
|
Взлом сервиса по анонимной отправке СМС - 
