Добрый день, после упорного анализа сайта, я нашёл и отладил свои данные, нашёл очень серьёзную sql-инъекцию, подскажите как мне её теперь реализовать? Потом после проверки "xspiderom" - выдаю такой отчёт.
Серьезная уязвимость SQL инъекция %s Описание Возможно выполнение атаки "SQL инъекция". "SQL инъекция" – способ нападения на базу данных в обход межсетевой защиты. В этом методе, параметры, передаваемые к базе данных через Web приложения, изменяются таким образом, чтобы изменить выполняемый SQL запрос. Например, добавляя различные символы к параметру, можно выполнить дополнительный запрос совместно с первым.
Нападение может использоваться для следующих целей: 1. Получить доступ к данным, которые обычно недоступны, или получить данные конфигурации системы, которые могут использоваться для дальнейших нападений. Например, измененный запрос может возвратить хешированные пароли пользователей, которые в последствии могут быть расшифрованы методом перебора. 2. Получить доступ к компьютерам организации, через компьютер, на котором находится база данных. Это можно реализовать, используя процедуры базы данных и расширения 3GL языка, которые позволяют доступ к операционной системе.
Во первых, нашел не ты.. ты всего лишь смог запустить сканер. А что делать дальше ты понятия не имеешь... Даже текст прочитать, что тебе сканер написать, ты не можешь... И смысл в найденной сканером (сканером, а не тобой), уязвимости ты не понимаешь.. Во вторых.. Ну, подскажем мы тебе тут, ну взломаешь ты сайт, действуя по нашей указке. и что? Это сделает тебя хакером? пиписька выростит? какие мотивы?
А я тебе скажу что будет... Будет еще одно раскрытое отделом К, дело. И очередной условный срок (это если ты догадаешься вовремя во всем сознаться и признать свою вину), и возмещение материального вреда - тысяч 200, которые выплатят за тебя твои родители. И неплохо, если ремня тебе всыпят как следует.
И даже новости про очередной успех отдела К на секлабе не будет. Ибо уж слишком много сейчас таких пойманных недохакеров, чтобы о каждом из них писать..
Так что по хорошему, советую тебе добра, рекомендую забросить хак, и пойти учится..
Ты, что-то путаешь, я 2 дня с сайтом возился и знал, что там есть уязвимости и их не мало, но это думаю самая нужна в данный момент, не нужно мне чтобы вы за меня делали, я прочитал не мало статей по этой теме, но у меня нет опыта в практике этого дела, зачем мне учиться? у меня уже есть средне специальное образование Какое ещё Уго.. дело, на сайте нет лицензии,тем более сайт создал школьник с целью развода и т.д.
Ну во первых 3 порта: 3306 - mysql 8085 - 1 сервер 8096 - 2 сервер 80 - сайт ip - 212.1.246.222 На сервере открыты доступы к таким папкам как etc share bin. Т.е. вся их информация наработка и т.д. находится как на блюдечке. Проверял немало php скриптов + символизацию для нахождения и проверки sql - инъекции, потом наткнулся на эту; решил перепроверить xspiderom. Также нашёл все контактные данные владельцев, провайдера, и посредников. Проводил Dos - атаку.
а про уголовное дело я тебе отвечу.... ст 272 УК РФ.. неправомерный доступ к компьютерной информации. И все равно, делал сайт школьник или не школьник. И лицензия тут не при чем...
а ДОС атака то зачем??)) добавить "блокирование информации" к своему уголовному делу?? PS зато разобрался в побудитильных мотивах..... как и следовало ожидать - сайт какой то онлайн игры..... Эх.. как желание стать эльфом 80-ого уровня заставляет ложить на здравый смысл.. просто поражаюсь... Лан, повторю свой совет...
Забудь ты про взлом сайта. Нехорошее это дело. незаконное. А учитывая твой опыт - ты наверняка засветился!
Лучше займись созданием своих систем.. И и их и ломай. и тут же старайся защитится... и опять ломай... и законно, и простора для творчества больше!
Алексей Берсенёв пишет: Наконец-то меня посадят smile;) А можно по существу теперь пожалуйста?)
Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
Алексей Берсенёв пишет: Наконец-то меня посадят smile;) А можно по существу теперь пожалуйста?)
Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
Я думаю, когда ты это делал, ты был миллионером! У меня денег хватит, не бойся
phoenix пишет: а ДОС атака то зачем??)) добавить "блокирование информации" к своему уголовному делу?? PS зато разобрался в побудитильных мотивах..... как и следовало ожидать - сайт какой то онлайн игры..... Эх.. как желание стать эльфом 80-ого уровня заставляет ложить на здравый смысл.. просто поражаюсь... Лан, повторю свой совет...
Забудь ты про взлом сайта. Нехорошее это дело. незаконное. А учитывая твой опыт - ты наверняка засветился!
Лучше займись созданием своих систем.. И и их и ломай. и тут же старайся защитится... и опять ломай... и законно, и простора для творчества больше!
Дело не в эльфе и т.д. игра меня почти не интересует, параллельно этого мира, есть другой мир, где можно также зарабатывать и не только
В общем, как хочешь.. Мне лично пофиг на твою судьбу... просто поверь мне, как много таких как ты, желающих по быстрому, по легкому заработать денег, сейчас ходят с условкой, или даже сидят....
К тому же я совсем не понимаю, как можно заработать, проводя ДОС атаку на сайт какой то там онлайн игры??
Неправильно ты меня понял, начну снова 1. Не нужна, мне информация и т.д. на их компьютере и прочее, в общем один человек, который держит этот проект разводит просто людей, вот и всё... 2. Просто хочу сделать, и понять как производится sql - инъекция. 3. Эти проекты уже все закрываются через неделю и уже вошёл такой жаргон как "сервер однодневка". 4. Уже не мало раз ломали и ничего не было. 5. Да кто там меня посадит, боже упаси, и не такое ломают, что не садят, ну а Proxy всегда спасают. 6. Разве ты не делал этого? Ты точно также начинал, и не надо тут говорить что не так, все так начинают...
Отвечу-ка и я. Если у тебя детство играет, хочешь что-то "похакать", топай на http://www.hackthissite.org/ и хакай на здоровье. Или проходи квесты на античате, в конце концов. Если ты действительно хочешь разобраться, "как производится sql - инъекция" (скажем, чтобы свою программу в дальнейшем от этого защитить), напиши свою простенькую прогу на РНР для вывода инфы из базы по id. После чего тренируйся на ней на денвере, на локальном компе. Если ты "поднял руку" на реальный действующий ресурс, даже не обезопасив себя (или обезопасив по рекомендациям ксакепа), то будь готов отвечать по полной. Это уже не шутки. Из-за подобных людей хакерами и стали называть преступников.
Иосиф Шварцман пишет: Отвечу-ка и я. Если у тебя детство играет, хочешь что-то "похакать", топай на http://www.hackthissite.org/ и хакай на здоровье. Или проходи квесты на античате, в конце концов. Если ты действительно хочешь разобраться, "как производится sql - инъекция" (скажем, чтобы свою программу в дальнейшем от этого защитить), напиши свою простенькую прогу на РНР для вывода инфы из базы по id. После чего тренируйся на ней на денвере, на локальном компе. Если ты "поднял руку" на реальный действующий ресурс, даже не обезопасив себя (или обезопасив по рекомендациям ксакепа), то будь готов отвечать по полной. Это уже не шутки. Из-за подобных людей хакерами и стали называть преступников.
Программа уже написана её название "TrinyCMS" - на уязвимости пока не проверял, + работаю я в Vertrigo или Xamp;Lamp;Appserv.
Ну, так в XAMPP'е делай. К слову, XAMPP, а не XAMP (Там еще перл есть ) Тем более, если ты кодер на плюсах (глянул в профиль), сам напишешь тестовую прогу.
Причём тут программа? Я разбираюсь в данный момент со sql - инъекцией. В данный момент я назвал так потому что: XAMPP — это акроним: X (любая из четырех операционных систем) Apache MySQL PHP Perl.