Форум русской поддержки Joomla!® CMS
05.12.2016, 02:27:55 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

SQL injection, пара вопросов

 (Прочитано 439 раз)
0 Пользователей и 1 Гость смотрят эту тему.
kik84
Живу я здесь
******

Репутация: +59/-4
Offline Offline

Сообщений: 1307



« : 30.10.2015, 16:14:48 »

RSFirewall прислал такое предупреждение:
Код:
http://сайт/index.php?option=com_contenthistory&view=history&item_id=1&type_id=1&list[ordering]&list[select]=(select 1 from (select count(*),concat((select username from #__users limit 0,1),floor(rand(0)*2)) from information_schema.tables group by 2)x)
При входе на сайт по такому URL - 404. А как проверить - появилось ли что-то новое в БД? Это ведь скл-запрос?
Поясните, пожалуйста)
Записан
voland
Профи
********

Репутация: +487/-86
Online Online

Пол: Мужской
Сообщений: 8704


любит наш народ всякое гавно...


« Ответ #1 : 30.10.2015, 16:21:27 »

Если стоит 3.4.5 - бояться нечего.
Если же от 3.2.0 до 3.4.4 - то бояться стОит.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #2 : 30.10.2015, 17:12:41 »

ни чего у вас в базе не появится это выборка
Записан
voland
Профи
********

Репутация: +487/-86
Online Online

Пол: Мужской
Сообщений: 8704


любит наш народ всякое гавно...


« Ответ #3 : 30.10.2015, 17:21:23 »

ни чего у вас в базе не появится это выборка
Вообще то  это эксплуатация уязвимости.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #4 : 30.10.2015, 17:29:27 »

Вообще то  это эксплуатация уязвимости.
и не более, в базу она не пишет  Wink
Записан
voland
Профи
********

Репутация: +487/-86
Online Online

Пол: Мужской
Сообщений: 8704


любит наш народ всякое гавно...


« Ответ #5 : 30.10.2015, 19:40:27 »

и не более, в базу она не пишет  Wink
Не пишет, но тут вопрос был не совсем корректно сформулирован.
Позволяет же утянуть куку, а потом под ней заиметь права админа, уж лучше бы просто в базу писала.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #6 : 30.10.2015, 20:50:59 »

Позволяет же утянуть куку, а потом под ней заиметь права админа, уж лучше бы просто в базу писала.
Позволяет тянуть любые данные из БД!
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #7 : 30.10.2015, 22:01:33 »

Вопрос поставлен так
А как проверить - появилось ли что-то новое в БД? Это ведь скл-запрос?
ответил как есть, посмотреть да, записать нет (не появилось)
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet