التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. خدماتنـــــا .:: ] > جـــ'ابات العناكــ'ب

إضافة رد
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 06-26-2011, 10:24 AM   رقم المشاركة : 1 (permalink)
معلومات العضو
 
إحصائية العضو





Dr-X-Designer غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Dr-X-Designer is on a distinguished road

سؤال غير مجاب: كيف تم استغلال ثغرات البوست php post ؟


السلام عليكم ورحمة الله وبركاته
لدي فورم يقوم بارسال التعليقات
ببساطة هذا الفورم قمت بالتعديل على السورس فقط بجعل الـ post الى get
وجدت المتغيرات عند الارسال تكون على هذا الشكل
كود PHP:
post.php?title=11111&comment=22222&send=ok 
الان عندم اقوم باضافة علامة التنصيص الـ (') الى احدى المتغيرات يظهر خطأ الماي سكويل
كود PHP:
You have an error in your SQL syntaxcheck the manual that corresponds to your MySQL server version for the right syntax to use near '222222222''0''''')' at line 1 
وعندما احاول استغلال الثغرة وكأنها get باضافة الامر
كود PHP:
+union+select+id+from+admin 
يظهر خطأ
كود PHP:
You have an error in your SQL syntaxcheck the manual that corresponds to your MySQL server version for the right syntax to use near 'union select id from admin, '111111111', '222222222', '0', '', '')' at line 1 
يبدو ان ثغرات البوست لها طريقة استغلال اخرى
او ربما لاني احاول استخدام امر استخراج بيانات من القاعدة و البوست اساسا لادخال البيانت للقاعدة
اصحاب الخبرات ماذا يرون ؟



Vspan style="font-weight: bold; color: #ff0000;"Cydv l[hf:VLspanC ;dt jl hsjyghg eyvhj hgf,sj php post ?

   

رد مع اقتباس
قديم 06-26-2011, 01:11 PM   رقم المشاركة : 2 (permalink)
معلومات العضو
 
الصورة الرمزية JetLi
 

 

 
إحصائية العضو






JetLi غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
JetLi is on a distinguished road

افتراضي


الPOST والGET هما متغيران في PHP
مثلا

كود PHP:
if($_GET["user"]=="something"
لا تختلف برمجيا عن
كود PHP:
if($_POST["user"]=="something"
فهم الاثنان نفس الشيء يعني الاختلاف فقط في ان البوست يكون في متن الرسالة المرسلة وان القيت يكون في العنوان فوق ، هذا هو الاختلاف فقط واذا ظهر اختلاف ثاني يكون سببه برمجة الاسكربت فقط لا غير
التوقيع

http://www.pollsb.com/photos/o/33924...tony_stark.jpg
التهكير يجعلك تنظر للحياة بعمق وترو

 

   

رد مع اقتباس
قديم 06-27-2011, 09:33 AM   رقم المشاركة : 3 (permalink)
معلومات العضو
 
إحصائية العضو





Dr-X-Designer غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Dr-X-Designer is on a distinguished road

افتراضي


انا فاهم انا مش بتكلم عن البوست والجت .
بقدر ما بتكلم عن الطريقة اللي بيستخدموا فيها ..
يعني ممكن تستخدم متغير سواء بالبوست او الجت في استخراج بيانات من القاعدة
وساعتها هنحقن القاعدة عادي بالطريقة العادية بيونيون ..
لكن لما يكون امر الكويري اساسا لادخال بانات للقاعدة من المتغير سواء كان من بوست او جت
فـ ازاي هنحقن القاعدة مع امر الـ insert وليس الـ select ؟

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع


الساعة الآن 01:05 AM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0