cum scap de sql injection

Discutii despre tot ce nu se incadreaza in celelalte categorii.

Moderators: Moderatori ajutatori, Moderatori

Post Reply
StiCk Camper
Membru, skill +1
Membru, skill +1
Posts: 373
Joined: 22 Mar 2010, 02:04
Detinator Steam: Da
CS Status: Ma joc :)
Detinator server CS: Cs.ArenaDevils.Com
SteamID: marcu93
Reputatie: Membru Club eXtreamCS (2 luni)
Location: Bucuresti
Has thanked: 11 times
Been thanked: 6 times
Contact:
Contact StiCk Camper

29 Dec 2010, 21:44

este un amarat un copil rupt in gura de foame pe aici numit SHAkEitw. nume de boschetar
care se tot joaca cu sql injection , face ce vrea din forumul meu phpbb3 imi punde index.html cu forumul lui cu fel si fel de reclame

cum pot face sa nu mai poata sparge forumul cu sql injection sau alt prgram ?
Image
Connect Cs.ArenaDevils.Com
•Viziteaza: ArenaDevils.Com
Top
RoyalServer
User avatar
D.Ciprian
Fost administrator
Fost administrator
Posts: 3948
Joined: 02 Oct 2010, 18:38
Detinator Steam: Da
CS Status: Away
Detinator server CS: ---
SteamID: @@@
Reputatie: Fost administrator
Location: .dbsql
Has thanked: 263 times
Been thanked: 330 times
Contact:
Contact D.Ciprian

29 Dec 2010, 22:11

Afla-i ip-ul si dai block din cpanel!
Click pentru a vizualiza | Afiseaza codul
Image
Top
StiCk Camper
Membru, skill +1
Membru, skill +1
Posts: 373
Joined: 22 Mar 2010, 02:04
Detinator Steam: Da
CS Status: Ma joc :)
Detinator server CS: Cs.ArenaDevils.Com
SteamID: marcu93
Reputatie: Membru Club eXtreamCS (2 luni)
Location: Bucuresti
Has thanked: 11 times
Been thanked: 6 times
Contact:
Contact StiCk Camper

29 Dec 2010, 22:24

din nefericire
are ip dinamic :(
Image
Connect Cs.ArenaDevils.Com
•Viziteaza: ArenaDevils.Com
Top
vim
Programator eXtream
Programator eXtream
Posts: 853
Joined: 29 May 2009, 19:13
Detinator Steam: Da
CS Status: Trag cu praştia !
Reputatie: Fost programator web eXtreamCS
Administrator tehnic
Sysadmin
Location: Bucureşti
Has thanked: 2 times
Been thanked: 342 times

30 Dec 2010, 02:00

Varianta rapida:
  1. Cauti in logurile de la serverul web ce fisier a accesat.
  2. Deschizi fisierul respectiv cu editorul de text preferat si te apuci sa filtrezi orice date vin de la useri. ($_GET , $_POST , $_COOKIE , etc)
Pe viitor:
  1. Verifici orice script, inainte de a il urca pe server.
  2. Nu utiliza scripturi in care scrie clar ca sunt concepte, ca se afla in stadiu beta sau ca nu au fost testate pe servere de productie.
  3. Evita utilizarea scripturilor care provin de la persoane ce fac dezvoltare web din pura pasiune.
Daca iti hostezi singur site`ul/forum`ul/etc, iti poti instala suhosin pana reusesti sa securizezi scripturile. (dar pastreaza asta ca solutie temporara si securizeaza scripturile)
I'm not antisocial, I'm just not user friendly.
⎯ retired
Top
User avatar
IsTI37
Fost administrator
Fost administrator
Posts: 10987
Joined: 10 Apr 2007, 15:02
Detinator Steam: Da
Reputatie: Fost administrator
Fost SysAdmin
Fost Fondator GTA5 (CVL)
Location: Cluj-Napoca
Has thanked: 28 times
Been thanked: 776 times

30 Dec 2010, 04:06

1. Ai grija la limbaj.
2. Phpbb3 e un cms aproape imposibil de spart, ori l-ai supermodat ori folosesti contul tau mysql/baza de date cu alt script deodata sau ai un keylogger.
3. Daca e sql injection e mai mult ca sigur ca provine dintr-un formular sau link, adica un GET sau POST neverificat. Iti dai seama de un script vulnerabil daca formularul tau e prelucrat fara sa fie ceva 'escape' scris pe undeva in script.
Top
StiCk Camper
Membru, skill +1
Membru, skill +1
Posts: 373
Joined: 22 Mar 2010, 02:04
Detinator Steam: Da
CS Status: Ma joc :)
Detinator server CS: Cs.ArenaDevils.Com
SteamID: marcu93
Reputatie: Membru Club eXtreamCS (2 luni)
Location: Bucuresti
Has thanked: 11 times
Been thanked: 6 times
Contact:
Contact StiCk Camper

30 Dec 2010, 11:59

nu inteleg ce ziceti voi aici :|

cred k se foloseste de baza mea de date cu alt script
Image
Connect Cs.ArenaDevils.Com
•Viziteaza: ArenaDevils.Com
Top
User avatar
Xcite
Membru, skill +2
Membru, skill +2
Posts: 558
Joined: 13 Mar 2010, 20:53
Detinator Steam: Da
CS Status: CS TIME DND !
Reputatie: Ban 3 luni !
Membru Club eXtreamCS (2 luni)
Location: Insulele Virgine
Has thanked: 99 times
Been thanked: 56 times

30 Dec 2010, 12:16

Poate ti-a uploadat un shell si are acces cand vrea la fisierele de pe webhost . M-am uitat pe forum sa caut vulnerabilitati dar nu am gasit ca sa se foloseasca de sql injection
*Daca te-am ajutat cu ceva arăta-ţi recunoştinţa prin apăsarea butonului Image
Image
Image
Image
Top
StiCk Camper
Membru, skill +1
Membru, skill +1
Posts: 373
Joined: 22 Mar 2010, 02:04
Detinator Steam: Da
CS Status: Ma joc :)
Detinator server CS: Cs.ArenaDevils.Com
SteamID: marcu93
Reputatie: Membru Club eXtreamCS (2 luni)
Location: Bucuresti
Has thanked: 11 times
Been thanked: 6 times
Contact:
Contact StiCk Camper

30 Dec 2010, 12:20

si unde sa fie fisierul shell sau cee asta ?
Image
Connect Cs.ArenaDevils.Com
•Viziteaza: ArenaDevils.Com
Top
User avatar
Xcite
Membru, skill +2
Membru, skill +2
Posts: 558
Joined: 13 Mar 2010, 20:53
Detinator Steam: Da
CS Status: CS TIME DND !
Reputatie: Ban 3 luni !
Membru Club eXtreamCS (2 luni)
Location: Insulele Virgine
Has thanked: 99 times
Been thanked: 56 times

30 Dec 2010, 12:24

StiCk Camper wrote:si unde sa fie fisierul shell sau cee asta ?
Cauta in public_html printre fisierele acelea daca ti se pare ceva fisier care e 'neobisnuit' , care nu l-ai mai intalnit la phpbb3 , si vezi ce are in el , daca nu depinde de forum sau incearca sa il accesezi adica : www.domeniu.ro/numefisier.php si daca apare gen imaginea urmatoare : http://norwegian.honeynet.org/files/images/c99.png , adica are acces la fisierele de pe host atunci acela e shell-ul si stergel .
*Daca te-am ajutat cu ceva arăta-ţi recunoştinţa prin apăsarea butonului Image
Image
Image
Image
Top
User avatar
M.Catalin
Membru, skill +2
Membru, skill +2
Posts: 755
Joined: 07 Sep 2010, 21:40
Detinator Steam: Nu
CS Status: Inactiv 2-3 zile.
Detinator server CS: Nu mai am.
SteamID: Nu mai am.
Reputatie: Restrictie moderator (limbaj vulgar si inselaciune)
Membru Club eXtreamCS (9 luni)
Nume anterioare : Catalin,d.wollen
Location: Mordor.
Has thanked: 95 times
Been thanked: 30 times

30 Dec 2010, 12:30

sql ? esti tare baiatule:)) ai shell in folderu cu fast ala de redirect offf mai invata ce e ala sql injection si dupaia postezi !

Stii foarte bine de ce ti-am facut asta :) !
Top
StiCk Camper
Membru, skill +1
Membru, skill +1
Posts: 373
Joined: 22 Mar 2010, 02:04
Detinator Steam: Da
CS Status: Ma joc :)
Detinator server CS: Cs.ArenaDevils.Com
SteamID: marcu93
Reputatie: Membru Club eXtreamCS (2 luni)
Location: Bucuresti
Has thanked: 11 times
Been thanked: 6 times
Contact:
Contact StiCk Camper

30 Dec 2010, 12:48

Aveam shell :|

uitati poza cum arata
Image


Ms baieti
Last edited by StiCk Camper on 31 Dec 2010, 15:22, edited 1 time in total.
Image
Connect Cs.ArenaDevils.Com
•Viziteaza: ArenaDevils.Com
Top
User avatar
Xcite
Membru, skill +2
Membru, skill +2
Posts: 558
Joined: 13 Mar 2010, 20:53
Detinator Steam: Da
CS Status: CS TIME DND !
Reputatie: Ban 3 luni !
Membru Club eXtreamCS (2 luni)
Location: Insulele Virgine
Has thanked: 99 times
Been thanked: 56 times

30 Dec 2010, 12:57

Ti-am zis. Acum stergel daca nu vrei sa mai aiba acces
*Daca te-am ajutat cu ceva arăta-ţi recunoştinţa prin apăsarea butonului Image
Image
Image
Image
Top
Post Reply

Return to “Discutii generale”

  • Information

  • Who is online

    Users browsing this forum: No registered users and 415 guests