Injección SQL ~ www.es.fondsk.ru

Web: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Injección SQL: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login'

Estado: No Reportado.

no la entiendo mucho
es SQL pero no tiene que salir un mensaje de que error
y que lea el manual de SQL
o algo haci
saludos
es que nio se mucho de desfacing   

No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar

Cita de: [Q3rV[0] link=topic=12758.msg45154#msg45154 date=1354324847]

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar

si pero repito, en ningun lado dice que es un error de consulta sql, solo dice que hay errores en la forma de tratar objetos, no parece ser injectable, igual solo me guio por la imagen, no probé en la web.

saludos!

No he probado aún pero no parecen ser errores en la consulta, simplemente en la imagen parecen ser noticias.
Nose si se realizaría bien la injección ya que no veo ningún error sql.
Saludos.

Hola chic@s
Solamente para que lo sepáis, he chequeado la web y he realizado algunas pruebas de sql injection, (blind, time-based y boolean-based) y he visto que el parámetro es inyectable, podéis comprobarlo fácilmente utilizando sqlmap, ademas hay otros puntos de acceso en la web que tienen vulnerabilidades similares.
Dado que no es de mi interés, no he realizado ningún ataque, pero una vulnerabilidad así, puede llevar a comprometer el servidor, estaría bien que Zekro la reportará ya que ha sido él quien la ha descubierto.

Saludos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Hola chic@s
Solamente para que lo sepáis, he chequeado la web y he realizado algunas pruebas de sql injection, (blind, time-based y boolean-based) y he visto que el parámetro es inyectable, podéis comprobarlo fácilmente utilizando sqlmap, ademas hay otros puntos de acceso en la web que tienen vulnerabilidades similares.
Dado que no es de mi interés, no he realizado ningún ataque, pero una vulnerabilidad así, puede llevar a comprometer el servidor, estaría bien que Zekro la reportará ya que ha sido él quien la ha descubierto.

Saludos.

gracias por la aclaración.

saludos!