Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

SQL csonkolás

2008.08.26. 09:22 | buherator | 14 komment

EQ készített egy jó kis fordítást az SQL csonkolásos támadásfajtáról, érdemes elolvasni!

A témáról itt is volt szó régebben.

Címkék: sql truncation

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

ehh 2008.08.26. 10:16:51

A magyar pdf elso bekezdeseben van vagy 20 helyesirasi hiba... Miert nem lehet atolvasni mielott kirakjuk a netre? A legszebb az "ettül függetlenül" ...

synapse · http://google.com 2008.08.26. 10:29:29

"ettül függetlenül" LOL :D

Amikor en olvastam mar nem volt benne.

Amugy gratulalok EQ, jo cucc ;)

synapse

_2501 2008.08.26. 10:43:30

klassz :)
pusziEQ

lintaba 2008.08.26. 12:08:05

localhoston kipróbálva az admin sokspace x nem működik:)
amúgy jó írás, csak nem tudom miért van benne hogy milyen új ha egy tavalyi írásodra hivatkozol:D

_2501 2008.08.26. 12:21:20

@linblabla frankón müxxik.

mysql> create table auth2(id int(4) not null auto_increment primary key, user char(16), pass char(16));

mysql> insert into auth2 values('','admin','abc123');

mysql> insert into auth2 values('','admin [halom space] x','mypass');

mysql> select * from auth where user='admin';
+----+------------------+--------+
| id | user | pass |
+----+------------------+--------+
| 1 | admin | abc123 |
| 2 | admin | mypass |
+----+------------------+--------+
2 rows in set (0.00 sec)

_2501 2008.08.26. 12:23:53

kimaradt:

mysql> select * from auth2 where user='admin [halom space] x';
Empty set (0.00 sec)

EQ · http://rycon.hu 2008.08.26. 13:44:41

kedves ehh: hunspell-el átnéztem a helyesírási hibákat, és nem talált, illetve amit talált azt javítottam. Hajnali fél3ra lettem kész, ha van is benne hiba akkor is megbocsájthatónak vélném.
10órát aludtam, most keltem fel, esélyem nem volt javítani, szóval ha most nincs benne hiba, akkor sem votl amikor te olvastad. "ettül függetlenül" meg sosem volt, szóval kabarézni máshol tessék.

Többieknek meg köszi.

Ja és azért új, mert fordítottam és ott azt írták, mellesleg a másik cucc más jellegű.

rrd · http://webmania.cc 2008.08.26. 14:04:27

Ránéznél erre, hogy mi ez? Nem vagyok egy buherátor, de kíváncsi az igen.
webmania.cc/beoltas/

EQ · http://rycon.hu 2008.08.26. 14:19:56

Felraktam most mac-re a cocoaspell-t és tényleg votl benne hiba, de összesen volt 20 és a legdurvábbak is összetettszavak voltak. Na mind1, nem mentegetőzöm, viszont a kritikának is van formája.

buherator · http://buhera.blog.hu 2008.08.26. 14:28:19

@rrd
Ez egy szép SQL injection próbálkozás. Annak a hosszú hexa értéknek minden két karaktere egy-egy valódi karaktert reprezentál egy lefuttatandó SQL kérésben. Egy kínai hoszton lévő javascriptet (www0.douhunqn.cn/csrss/w.js) próbál az adattábláidba injektálni. Bíztató...

ave 2008.08.26. 15:15:25

rrd,
Csak MS SQL-en megy, de nagyon ugyes kod.

Az extra szokozok tenyleg csunyan leszerepelnek, de ettol fuggetlenul meg nagyon kreten kodnak kell lennie a beleptetonek.
User tablaban usernev mellett azert egy ID-t is illik hasznalni, es igy egybol nem megy az admin atvetele.

ehh 2008.08.27. 11:47:43

Rabasztal, mert megvan az "ettül függetlenül" verzio a gepemen..

Hazudozni mashol tessek...

Kis sunyi :-)

ehh 2008.08.27. 11:52:50

1. buffer-overflow-hoz
2. SQL-injection
3. SQL-specifikus
4. Web-fejleszto

EQ · http://rycon.hu 2008.08.27. 12:14:35

hát jah, rábasztam, talán olvasd el az előző kommentem.