לא מצליח!!!!!!! SQL injection

[facebook1]

היי לכולם אני ממשתמש אחר כי לא הצלחתי להתחבר לשלי..

בכל מקרה, התחלתי ללמוד SQL injection וכל הקטע של אבטחת המידע.

אני יודע PHP \ SQL ואת כל השפות תכנות שצריך וכ'..

אני מנסה תקיפה על מערכת ניהול שלי שאין לה אבטחה בכוונה ויש לה המון באגים ואני לא מצליח!

לדוגמא אני מנסה להוסיף ' אחרי הpid=2 ולא מופיע לי שגיאות העמוד עצמו משתבש כאילו מוצג בלי תוכן אבל אין רשימה של תורים או טבלאות..

קראתי הרבה מדריכים ואני לא מצליח..

אז סורי שאת הקישור למערכת אני לא יכול לפרסם אבל בעקרון אני מקווה שהבנתם.

שבת שלום

[Reggae-Man]

תשלח לי בפרטי תאתר ונראה עם הוא פריץ ועם כן אני יסביר לך

[roee147]

תוכיח לי שזה המערכת שלך שלח לי בפרטי..

[facebook1]

איזה פורום? זה מערכת ניהול שבניתי במיוחד כדי ללמוד עליה אבטחה וגם בלי כל קשר אתם לא יכולים לעזור בבעיה?

[Reggae-Man]

מה לא הבנת תשלח תלינק בפרטי ואז נראה עם אפשר לעזור בכלל

[facebook1]

אני שואל שאלה פשוטה, הוספתי גרש אחרי הPID והדף משתמש (מוצג מחדש בלי תוכן) ואני לא יודע איך להשיג משם את הטורים.

יש פירצה כי בכוונה עשיתי פירצה שאני ילמד תדרך להגיע אליה.

[momop23]

מצד אחד את האומר שאתה יודע PHP ו-SQL ואת ה-"שפות שצריך"
ואז אתה בא ורושם שקראת את כל המדריכים, ואתה לא מצליח?

האנשים פה משעשעים.

[facebook1]

כן כי מה לעשות לא כולם גאונים כמוך.

אם אני יודע לתכנת בPHP מערכת ניהול זה אומר שאני חייב לדעת פריצה? את תהליך הפריצה והפקודות וכ' אני מבין מראש כי אני יודע SQL והכל נראה ברור, פשוט נקעתי פה בקטע המעצבן שלא מאפשר לי לשלוף מידע על התורים והטבלאות.

[Reggae-Man]

מה לא הבנת תביא תלינק של האתר ונראה עם הוא פריץ בכלל ועם אפשר להוציא ממנו משהו והכול וזהו במקום לחפור פה

[roee147]

אין שגיאה לא פריץ מה הבעיה..

[BloodBash]

קודם כל תתחיל בזה שתוכיח בעלות על האתר.

[H4a6c19k5e18R]

שלום משתמש יקר,אנא תן לי את כתובת האתר שלך,ונראה מה נוכל לעשות בנדון.

[facebook1]

אני יתייעץ עם חבר'ה פה באשכול בפרטי..

אין צורך להוכיח בעלות (למרות שכמובן שאני יכול לעשות אתזה) כי זה לא אתר זה מערכת ניהול שבניתי בכוונה להתאמן עליה בכל הקטע של האבטחת מידע. לפתח דרכים לפרוץ ואחר כך לחסום אותם.

אז כמו שאמרתי אני כבר שלחתי פה ה"פ למשתמשים..

בכל מקרה שאלה כללית, גרש אחרי הדומיין \ id= לא נותן כלום (רק מרענן תדף) איך מתקדמים מפה? בהנחה שיש פירצה

[JsT]

פשוט תאבטח את הנתונים שלך. במידה ותסנטז את הנתונים שלך(SQL INJECTION וXSS) לא אמורה להיות פרצה איך עושים זה?
במידה ואתה משתמש בשפת התיכנות PHP והPID חייב להיות מספרי אתה עושה ככה:

קוד PHP:

$pid = is_numeric($_GET['pid']) ? $_GET['pid'] : 0 


מה שאומר שבמידה והערך שהגיע דרך המשתנה GET איננו מספרי תמיד תקבל את הערך 0.
מומלץ לבצע בדיקה שבמידה והערך הוא 0 להעביר לדף האינדקס.

[facebook1]

תודה אבל לפני שאני מאבטח אני רוצה לדעת איך לפרוץ. ישלי המון ידע בPHP וSQL ובכל הקטע של ההאקינג אני תקוע ולא מתקדם לשום מקום.. פתאום הכל נראה שונה ולא מובן