Нашел сайт, в форму куда надо вводить данные ввел( ' ),получил ошибку которую видите ниже,но не врубаюсь что делать дальше так как тут aspx скрипт,и нету переменных в адресе URL типа id=.. Cервер на базе IIS 6.0 ОС Windows Также на страницах используется php <=4.4.1 Помогите люди добрые,подскажите как дальше работать (если есть матерьял по ASP иньекций подкиньте мне пару ссылок пожалуйста ) Code: Server Error in '/passwordrestore' Application. Invalid login Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code. Exception Details: System.FormatException: Invalid login Source Error: The source code that generated this unhandled exception can only be shown when compiled in debug mode. To enable this, please follow one of the below steps, then request the URL: 1. Add a "Debug=true" directive at the top of the file that generated the error. Example: <%@ Page Language="C#" Debug="true" %> or: 2) Add the following section to the configuration file of your application: <configuration> <system.web> <compilation debug="true"/> </system.web> </configuration> Note that this second technique will cause all files within a given application to be compiled in debug mode. The first technique will cause only that particular file to be compiled in debug mode. Important: Running applications in debug mode does incur a memory/performance overhead. You should make sure that an application has debugging disabled before deploying into production scenario. Stack Trace: [FormatException: Invalid login] _Default.Step1_Click(Object sender, EventArgs e) +638 System.Web.UI.WebControls.Button.OnClick(EventArgs e) +105 System.Web.UI.WebControls.Button.RaisePostBackEvent(String eventArgument) +107 System.Web.UI.WebControls.Button.System.Web.UI.IPostBackEventHandler.RaisePostBackEvent(String eventArgument) +7 System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +11 System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +33 System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +5102 Исходник ASPX скрипта Code: <body> <form name="form1" method="post" action="default.aspx" id="form1"> <div> <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwULLTE2MzczNTE1NjQPZBYCAgMPZBYMAgUPDxYCHgdWaXNpYmxlaGRkAgcPDxYCHwBoZGQCCQ8PFgIfAGhkZAILDw8WAh8AaGRkAg0PDxYCHwBoZGQCDw8PFgIfAGhkZGSpIm4bTZvHguHHM8m2vI80xQij8A==" /> </div> <div> <strong class="newsdate">Login/Логин:</strong><br /> <input name="fLogin" type="text" id="fLogin" class="inputs" /> <br /> <input type="submit" name="Step1" value="Next step >>" id="Step1" class="inputs" /><br /> <br /> <strong class="newsdate">Question 1/Вопрос 1</strong><br /> <br /> <br /> <br /> <strong class="newsdate">Question 2/Вопрос 2</strong><br /> <br /> <br /> <br /> <br /> <br /> <br /> </div> <div> <input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" value="/wEWAwK0j4+QCAKm+578DgLl/5WWBHBVhuGV4W5PwfuPNOXFe4lKvH7Q" /> </div></form> </body>
В исходнике Code: <form name="form1" method="post" action="default.aspx" id="form1"> заменяешь на Code: <form name="form1" method="get" action="default.aspx" id="form1"> и будут у тя параметры в строке. Ошибка, кажись, лишь говорит что логин неверен. А статья вот ТУТ вроде по этому делу.
Боюсь, что у тебя ничего не получиться! Что называешь "Исходник ASPX скрипта" на самом деле html сгенерированный aspx - страницей!! Ошибка появившееся - это лишь необработанное исключение о несовпадение учётной записи! Замена post на get (как советует предыдущий тс) ничем тебе не поможет, так как aspx страница выполняется на сервере!
Блин на aspx тот же самы injection что и везде, всё зависит не от языка скрипта, а от БД которя там висит, если ты дейчтвительно нашёл багу типа sql-injection то вполне возможно чтото полуится. Как правилос aspx используется, microsoft-access, jet-database, или mssql. Очень сильно сомневаюсь по поводу php, он на aspx сервере как правило не работает P.S. но вряд ли это инъекция, такие ошибки на асп часто вылетают
