проверка на дыры

⚠️ Bymas - Форум разработчиков
Свежие Креативы и море позитива !!!
Печать RSS
406
Валик 18.08.2011 / 03:11 Автор
Пришелец
0
если ты думаешь, что можно поставить логин Antichat, а потом ходить и ***бываться то ты не прав. При чем тут 100 кб кода?? я не сижу и не смотрю внутренюю начинку сайта... я разными методами передачи переменных и запросов анализирую реакцию сервера. Зачем мне исходник, если хакера его не будет??? Я занимаюсь проверкой ответов сервера на ВНЕШНИЕ запросы... И давай не будем срать друг на друга без причины... krut я всегда за МИР))
[Dark Green] 18.08.2011 / 03:14
Пришелец
0
адекватные аргументы будут? проанализируй код в скрипте который я предоставил в посте №20

PS А пихать кавычки в запросы может каждый дурак, это не проверка на "дыры" как ты сказал, это полная шляпа или говоря общедоступным языком - продажа воздуха
Изменил: [Dark Green] (18.08.2011 / 03:16)
Валик 18.08.2011 / 03:16 Автор
Пришелец
0
пихать кавычки я перестал в сайты уже года 2 назад...
а скрипт твой не пащет... команда include есть - файла нет...
и вообще у меня нету времени! я скрипт пишу!
[Dark Green] 18.08.2011 / 03:20
Пришелец
0
valik711 (18 Августа 2011 / 03:16)
пихать кавычки я перестал в сайты уже года 2 назад...
а скрипт твой не пащет... команда include есть - файла нет...
и вообще у меня нету времени! я скрипт пишу!
у меня нет слов, что и требовалось доказать... горе-кодер =\

А как ты тогда проверяешь сайт/сервер на наличие уязвимости класса SQL inj (внешними запросами) если не пихаешь туда кавычку?! =\

Пояснение для слабоумных выскочек:
Это фрагмент одного файла, а не полностью рабочий скрипт!!! почитай вырезанный кусок кода и скажи есть ли там уязвимость PHP или SQL инъекция , если ты правельно все сделаешь, это будет лучшей гарантией твоей компетентности

Добавлено через 03:23 сек.
впрочем, я более чем уверен в том, что ты сейчас начнешь приводить отмазки и сам код проанализировать не сможешь, ссылаясь на отсутствие свободного времени и т.п. хотя, для опытного человека это займет не более 3-5 минут...

если докажешь что у тебя есть знания, то я публично извинюсь перед тобой, создашь тему на античате или любом другой достойном проекте, а я напишу тебе рекомендацию D
Валик 18.08.2011 / 03:26 Автор
Пришелец
0
там PHP inj... все отстань... нету времени...
[Dark Green] 18.08.2011 / 03:29
Пришелец
0
ахахахахахаха покажи кусок уязвимого кода D D D

Там нет PHP inj спешу тебя огорчить)))))

Добавлено через 01:17 сек.
еще одна подсказка: там есть только SQL, только найди ее и покажи как заюзать...

Ты нубяра который хочет срубить бабла с неграмотных людей которые в этом не разбираются

Добавлено через 03:01 сек.
ответь в icq хочу с тобой пообщаться)))))

Добавлено через 05:30 сек.
не угадал в общем))))) vtopku
Валик 18.08.2011 / 03:36 Автор
Пришелец
0
иди в ж*пу... докажи что ты говоришь - правда... еще раз повторяю логин Antichat не делает тебя крутым PHP inj там есть... а SQL inj проверяется НЕ ПО ЗАПРОСАМ К БД, А ПО СИСТЕМЕ ФИЛЬТРАЦИИ ПЕРЕМЕННЫХ!!! (СЛЕДУЮЩИЙ ХОД ПОСЛЕ ИНПУТА!!!)... а мои услуги реально выявляют недостатки сайтов и их хостингов!!
[Dark Green] 18.08.2011 / 03:41
Пришелец
0
хорошо, ты крут, а я пойду в жопу сразу после того, как ты покажешь мне где там PHP inj.

еще ответь на такой вопрос, как ты собрался анализировать фильтрацию переменных не глядя в исходный код и не пихая кавычки в запрос?!

Я например смогу показать где там SQL inj и объяснить природу ее возникновения, а ты сможешь показать где там уязвимость о которой ты говоришь? Не сможешь, ибо ее там просто напросто нет. ты показал уровень своих знаний и уровень качества услуг которые ты предоставляешь. После этого диалога только полный лох обратится к тебе за аудитом =\

Добавлено через 01:56 сек.
valik711 (18 Августа 2011 / 03:36)
PHP inj там есть... а SQL inj проверяется [b]НЕ ПО ЗАПРОСАМ К БД, А ПО СИСТЕМЕ ФИЛЬТРАЦИИ ПЕРЕМЕННЫХ!!! (СЛЕДУЮЩИЙ ХОД ПОСЛЕ ИНПУТА!!!)
дайте мне минусомет D
Изменил: [Dark Green] (18.08.2011 / 03:46)
Валик 18.08.2011 / 03:48 Автор
Пришелец
0
1. вместо кавычек - аналогичный способ.
2. SQL inj там нету
3. ок хорошо. говори адрес сайта анализ которого нужно произвести. если результат анализа подробным и качественным - ты платишь мне 150 рублей. Если нет - ты будешь прав!
[Dark Green] 18.08.2011 / 03:57
Пришелец
0
valik711 (18 Августа 2011 / 03:48)
1. вместо кавычек - аналогичный способ.
2. SQL inj там нету
3. ок хорошо. говори адрес сайта анализ которого нужно произвести. если результат анализа подробным и качественным - ты платишь мне 150 рублей. Если нет - ты будешь прав!
Что ты с темы съезжаешь?! Чучило, не позорься)))

1. двойные кавычки подставляешь? D под кавычками я имел ввиду не только одинарные кавычки, ты думаешь слишком прямолинейно, либо косишь под дурочка, чтоб скрыть свою неграмотность
2. Скуля там есть, а вот PHP inj отсутствует, если я ошибаюсь, поправь меня и приведи пример
2.1 SQL inj: 
localhost/script.php?akeywords=[SQL_inj]
2.2 Уязвимый код 
if ($_GET['akeywords'] != ""){ 

  $_GET['akeywords'] = urldecode($_GET['akeywords']); 

    $all_sql = "SELECT 
          faq_id, 
          question, 
          answer, 
          date_added 
      FROM " . TABLE_FAQ . " 
      WHERE status = '1' and language = '" . (int)$_SESSION['languages_id'] . "' and (question like '%" . $_GET['akeywords'] . "%' or answer like '%" . $_GET['akeywords'] . "%') order by date_added DESC"; 

 }

Добавлено через 03:53 сек.
рассмешил меня до слез негодник D я теперь не усну)))
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск