SQL инжект - что это за атака?

[Everybody]

Что такое SQL-injection? Это отправка базе данных SQL команды на выполнение через web скрипт, расположенный на доступной рядовому пользователю веб-странице.

Для начала построим цепь, по которой связываются пользователь с базой данных: пользователь заходит на страницу, пишет свое имя и пароль, после нажатие на кнопки типа Submit страница проверяет правильность данных и отправляет данные веб серверу, веб сервер формирует SQL запрос и передает его базе данных (Веб сервер не проверяет, может ли ваш запрос взломать базу данных!), она проверяет запрос и возвращает результат скрипту, который выдает пользователю ответ. Таким образом есть только одно потенциально уязвимое место: передача данных скрипту. Итак, ищем скрипты, которые могут быть уязвимы. А уязвим может быть любой скрипт, который обращается к базе как post, так и get методом.
-
nanoman :
-This is my sql injection tutorial
-I included gm commands,help,codes
-Download:
[hide]видео туториал на английском очень подробно показывает как менее чем за 5 минут возможно обрести на любом сервере GM, items full option, full stats, big Zen ... 

Download SQL inject (letibit.net)
Download SQL inject (uploading.com)

[NATA]

А можно поподробней все дейвствия описать?
я не очень в этом всем разбираюсь...

[Everybody]

Заходишь на страницу сайта муонлайн.
И пробуешь в каждом окне писать код `update
Если в ответ пишет Error mssql то дело за малым.
Сохрани страницу и отредактируй в нотепаде как указано на видео.

[NATA]

да я сначала видео  не заметила...
ошибку не выбивает...

[TEHb]

Блин чето я не очень все понял...

[XeV1L]

кто-нибуть знает сервер с этим багом?

[Everybody]

google.com всё знает, набираем чтото похожее на mu online private server и в путь.

[XeV1L]

я вот нашел сервер 3 season 2 episode

https://www.darkmu.info/

кто-нибуть может проверить  здесь работает SQL inject или нет. Заранее спасибо!

[SPEEDI]

[color=#000000;background:#000000]хевил, там все пашет???[/color] *sry за флуд

[XeV1L]

не знаю пашет ли там все, но я хочу знать работает ли там SQL inject

[WTF1992]

Смотри что пишет :
Error 404
ххххх.com.ua
04/01/08 20:43:34
Apache/2.0.55 (Win32) mod_ssl/2.0.55 OpenSSL/0.9.8a PHP/5.0.5 mod_autoindex_color

Будет работать или не ?

[Ronny]

Смотри что пишет :
Error 404
ххххх.com.ua
04/01/08 20:43:34
Apache/2.0.55 (Win32) mod_ssl/2.0.55 OpenSSL/0.9.8a PHP/5.0.5 mod_autoindex_color

Будет работать или не ?

Даи Сайт....я проверю

[Jahte]

По ходу нет.... вроде все обшарил !

[Everybody]

Ваши чуства и догаддки здесь не к чему, наноман пожалуй первый человек который в паблик винес этот баг. И естественно его через пару дней пофиксили.
Админы в панике были когда сервер существовал пару недель и тут бац  все аккаунты делитттттт...
-
Пару скринов когда все это воркало на бажных сайтах.
https://x-mu.net/2007/01/07/screenhots_svezhikh_prikolov.html

[NightWish]

Привет! Я проверил этот  SQL Injection. Он действительно работает. Но есть одно но...сейчас большинство сайтов MuOnline сделаны не под "PHP" что очень-очень плохо!! Я взломал сервер

mu.unimu.ru

было весело =) Есть даже "PHP" сайты с которыми не повоевать...

[Ronny]

можно поинтересоваться ... через что ты зделал инекцию на етом сайте ? через рег ?

[nanoman]

Хаха! Я так ржал когда я смотрел свой видео...я тогда ешо нечего так много незнал и мелкий тоже бил. Когда-то я изделаю новый видео.

[Excornose ^^]

Перезалейте плиз видео )

Спс

[StirbJetzt]

rabotajet mnogo gde!!!

[Dracen]

NigtWish там ещё можно им постебаться?