Forum » Informacijska varnost » Creativ d.o.o. - Vsaka stran, ki so jo naredili, ranljiva na isti SQLi
Creativ d.o.o. - Vsaka stran, ki so jo naredili, ranljiva na isti SQLi
misteri ::
Gre se za blind SQL injection. Skoraj vse strani v referencah so ranljive. Zelo me cudi, da, ni se nobena defacana.
SQL injection na njihovi strani:
http://www.creativ.si/new/sl/reference....
http://www.creativ.si/new/sl/reference....
Par njihovih izdelkov in SQL injectioni:
http://www.univerza3-msobota.si/sl/page...
http://www.ris-dr.si/sl/page.asp?id_inf...
http://www.belbaluk.co.uk/balloons/news... and 1=1
http://www.evang-cerkev.si/sl/page.asp?... and (select top 1 id_informacija from informacija)
Ce ima kdo zeljo, naj poslje mail na info@creativ.si z linkom na to temo, ce se sploh kdo tam obstaja.
SQL injection na njihovi strani:
http://www.creativ.si/new/sl/reference....
http://www.creativ.si/new/sl/reference....
Par njihovih izdelkov in SQL injectioni:
http://www.univerza3-msobota.si/sl/page...
http://www.ris-dr.si/sl/page.asp?id_inf...
http://www.belbaluk.co.uk/balloons/news... and 1=1
http://www.evang-cerkev.si/sl/page.asp?... and (select top 1 id_informacija from informacija)
Ce ima kdo zeljo, naj poslje mail na info@creativ.si z linkom na to temo, ce se sploh kdo tam obstaja.
- spremenilo: misteri ()
technolog ::
Ja, sej tko je, če štancajo spletne strani kot po tekočem traku.
Dejansko je potem vprašanje, če se da dajansko kakšno škodo naredit (injection se dela sam na select stavek), al je škoda sm na ugledu podjetja - to namreč, da so nesposobni.
p.s.: In če jim boš poslal mail, misliš da bodo kaj naredili? Kot prvo - CMS ni njihov (natürlich weil es in Deutsch ist), pa tudi če bi dobili popravek, misliš da bi šli vseh 100 strani popravljat in re-uploadat? Ne, jaz tudi mislim, da ne.
Dejansko je potem vprašanje, če se da dajansko kakšno škodo naredit (injection se dela sam na select stavek), al je škoda sm na ugledu podjetja - to namreč, da so nesposobni.
p.s.: In če jim boš poslal mail, misliš da bodo kaj naredili? Kot prvo - CMS ni njihov (natürlich weil es in Deutsch ist), pa tudi če bi dobili popravek, misliš da bi šli vseh 100 strani popravljat in re-uploadat? Ne, jaz tudi mislim, da ne.
Zgodovina sprememb…
- spremenil: technolog ()
MisterR ::
Google inurl:admin/login.php
tam nekje na 5. ali 6. strani se začne veselica z uporabo i' or 'i'='i kot login =)
tam nekje na 5. ali 6. strani se začne veselica z uporabo i' or 'i'='i kot login =)
technolog ::
Ja, sej sm ti reku, če ti rata odkrit kej, kar je DEJANSKO nevarno, ne samo kozmetični minus, potem ja, je dobro obvestit stranke. Če ne je pa dobro pustit stvar na miru.
technolog ::
Kaj ti to pomaga, če je unpersistent... Zgine, ko pritisneš f5. To je primer nenevarne luknje.
Če so podatki persistent, je stvar druga - namreč vstaviš lahko JS kodo, ki krade npr. piškotke in počne ostale svinjarije.
Če so podatki persistent, je stvar druga - namreč vstaviš lahko JS kodo, ki krade npr. piškotke in počne ostale svinjarije.
techfreak :) ::
Si prepričan, da je read only? Malo sem že pozabil ASP v povezavi z Access, vendar ponavadi lahko v izvedeš več SQL stavkov v eni poizvedbi.
technolog ::
Aja, pol je pa to moja poklicna deformacija :D Php pa taka fore.
Pa sam neki, tuki ne gre za blind injectione, poglej si to:
http://www.creativ.si/new/sl/reference....
Celoten query z imeni tabel vred
Pa sam neki, tuki ne gre za blind injectione, poglej si to:
http://www.creativ.si/new/sl/reference....
Celoten query z imeni tabel vred
MisterR ::
Sedaj nevem v kakem kontekstu si to napisal ampak, zakaj bi hotel pisat v njih? Prebereš tabele s podatki o uporabnikih pa si zmagal. Sploh če imajo še kake druge podatke gor.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Nakup rabljenega vozila (cca. 6000 EUR)Oddelek: Na cesti | 3567 (2784) | Kasali |
» | Merilnik porabe EL energijeOddelek: Elektrotehnika in elektronika | 1188 (895) | BorutK-73 |
» | Ogrevanje.Oddelek: Znanost in tehnologija | 5960 (3905) | energetik |
» | Kupujem rolarje prosim za pomočOddelek: Loža | 7130 (4355) | DOOM_er |
» | Katera platišča?Oddelek: Loža | 1735 (1389) | joker16_7 |