|
Webmaster Araçları Kutsal Webmaster Bilgi Kaynağı |
|
| Forum | Üye ol | Giriş Yap |
| Forum >> Güvenlik Açıkları ve ipuçları >> Sql Injection ve yasaklanmış karakterler hakkında |
| Yazan | |
| ahmet Yeni Üye  |  03 Temmuz 2010 Cumartesi 10:02:21 sql injection saldırıları yaparken hep böyle hata almaya çalıştık site.com/mismis.php?parametre=değişken'a ama bazen bunu koydugumuzda beyaz bir sayfayla falan karşılaşabiliyoruz bunun sebebi oruspu ç.webmasterların ' gibi karakterleri engellemesindendir başka birşeyden degildir biz lameroglu lamerlerde bunu geçmek için şu fonksiyonları kullanırız concat() char() şimdi bir örnek verelim . ne yapalım mesela kullanicilar tablosundan kullanici columndan verileri çekmek isteyelim sorgumuz nasıl oluşur ? SELECT kullanici FROM kullanicilar WHERE kullanici='admin' evet sorgum böyle olcek. ama bizim piç webmaster ipnelik yapmış gene ve alamadık istedigimiz çok istegimiz verileri vayy gitti herneyse.şimdi nasıl alacaz biz nasıl bir piçlik yapacazki bu verileri alacaz ? hemen şey edim select kullanici from kullanicilar where kullanici=CONCAT(CHAR(39),CHAR(97),CHAR(100),CHAR(109),CHAR(105), CHAR(110),CHAR(39)) şeklinde bir saldırı uygularsak istedigimiz verilere ulaşabilirz. bkz: http://www.easycalculation.com/ascii-hex.php |
Hemen üye olmak için burayı tıklayınız.. | |
| Sayfalar: 1 | |