Автор Тема: SQL Injection  (Прочитано 3905 раз)

0 Пользователей и 1 Гость просматривают эту тему.

darkcsАвтор темы

  • *
  • Оффлайн
  • Награды Более 10 сообщений Более 6 лет на форуме !!!
  • Дата регистрации: Фев. 2016
  • Сообщений: 10
  • Репутация +0/-0
  • Пол: Мужской
SQL Injection
« : 14 Марта 2016, 19:28:04 »
Прошу помощи.Сканер нашел вот такое

/pages/account/_insert.php
145:   <input type="hidden" name="PAYMENT_AMOUNT" value="'.$_POST['sum'].'">XSS!
/pages/account/_insertpm.php
51:<input type="hidden" name="PAYMENT_AMOUNT" value="'.$_POST['sum'].'">XSS!
/pages/admin/_about.php
61:$db->Query("UPDATE db_conabrul SET about = '".$_POST["tx"]."' WHERE id = '1'");SQL Injection!
a:0:{}
 

kvozimir

  • снова в skype --> kvozimir
  • *
  • *
  • Оффлайн
  • Награды Более 1750 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация  более 25 Более 50 созданных тем Благодарность от форума За помощь пользователям За время в онлайне на форуме
  • Дата регистрации: Фев. 2016
  • Возраст: 30
  • Сообщений: 1997
  • Страна: ru
  • Поблагодарили: 239 раз(а)
  • Репутация +39/-1
  • Пол: Мужской
  • Дата рождения:
    1992-04-18
    Социальные сети:
    ВКонтакте
SQL Injection
« Ответ #1 : 14 Марта 2016, 19:30:27 »
типа фильтрацию поставить надо...


вот вы сканером проверяете и спрашиваете как исправить,но на сколько мне известно сканер так же показывает как исправить

 

maks161

  • *
  • *
  • *
  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 1750 сообщений Репутация более 15 Топ 10 по созданным темам Топ 10 по сообщениям За финансовую помощь форуму !!! Благодарность от форума Более 50 созданных тем За время в онлайне на форуме
  • Дата регистрации: Янв. 2016
  • Расположение: Ростов-на-Дону
  • Возраст: 38
  • Сообщений: 1757
  • Страна: ru
  • Поблагодарили: 146 раз(а)
  • Репутация +22/-5
  • Пол: Мужской
  • Дата рождения:
    1984-03-10
SQL Injection
« Ответ #2 : 14 Марта 2016, 19:51:04 »
типа фильтрацию поставить надо...


вот вы сканером проверяете и спрашиваете как исправить,но на сколько мне известно сканер так же показывает как исправить
Нет, он показывает только вредоносные коды и всё! А проверяешь ты сам смотришь что за код и надо ли его удалить! Бывает такое что обычный плеер или радио тоже в подозрении!
 

kvozimir

  • снова в skype --> kvozimir
  • *
  • *
  • Оффлайн
  • Награды Более 1750 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация  более 25 Более 50 созданных тем Благодарность от форума За помощь пользователям За время в онлайне на форуме
  • Дата регистрации: Фев. 2016
  • Возраст: 30
  • Сообщений: 1997
  • Страна: ru
  • Поблагодарили: 239 раз(а)
  • Репутация +39/-1
  • Пол: Мужской
  • Дата рождения:
    1992-04-18
    Социальные сети:
    ВКонтакте
SQL Injection
« Ответ #3 : 14 Марта 2016, 19:54:15 »
И ЧТО ЖЕ У ВАС ЗА СКАНЕР ТАКОЙ?
 

maks161

  • *
  • *
  • *
  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 1750 сообщений Репутация более 15 Топ 10 по созданным темам Топ 10 по сообщениям За финансовую помощь форуму !!! Благодарность от форума Более 50 созданных тем За время в онлайне на форуме
  • Дата регистрации: Янв. 2016
  • Расположение: Ростов-на-Дону
  • Возраст: 38
  • Сообщений: 1757
  • Страна: ru
  • Поблагодарили: 146 раз(а)
  • Репутация +22/-5
  • Пол: Мужской
  • Дата рождения:
    1984-03-10
SQL Injection
« Ответ #4 : 14 Марта 2016, 19:58:39 »
И ЧТО ЖЕ У ВАС ЗА СКАНЕР ТАКОЙ?
Обычный нормальный бесплатный сканер! Я такое в первый раз слышу чтобы сканер ещё и сам исправлял! Он только выделяет конкретно вредоносный код от куда и до куда!
 

maks161

  • *
  • *
  • *
  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 1750 сообщений Репутация более 15 Топ 10 по созданным темам Топ 10 по сообщениям За финансовую помощь форуму !!! Благодарность от форума Более 50 созданных тем За время в онлайне на форуме
  • Дата регистрации: Янв. 2016
  • Расположение: Ростов-на-Дону
  • Возраст: 38
  • Сообщений: 1757
  • Страна: ru
  • Поблагодарили: 146 раз(а)
  • Репутация +22/-5
  • Пол: Мужской
  • Дата рождения:
    1984-03-10
SQL Injection
« Ответ #5 : 14 Марта 2016, 20:00:17 »
И ЧТО ЖЕ У ВАС ЗА СКАНЕР ТАКОЙ?
Скинь мне даже интересно посмотреть на сканер который сам исправляет,не видел такого!
 

kvozimir

  • снова в skype --> kvozimir
  • *
  • *
  • Оффлайн
  • Награды Более 1750 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация  более 25 Более 50 созданных тем Благодарность от форума За помощь пользователям За время в онлайне на форуме
  • Дата регистрации: Фев. 2016
  • Возраст: 30
  • Сообщений: 1997
  • Страна: ru
  • Поблагодарили: 239 раз(а)
  • Репутация +39/-1
  • Пол: Мужской
  • Дата рождения:
    1992-04-18
    Социальные сети:
    ВКонтакте
SQL Injection
« Ответ #6 : 14 Марта 2016, 20:03:51 »
не знаю что у вас за сканер у меня вот так
http://dl3.joxi.net/drive/0002/1976/186296/160314/3e50b78c04.png
SQL Injection
 

maks161

  • *
  • *
  • *
  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 1750 сообщений Репутация более 15 Топ 10 по созданным темам Топ 10 по сообщениям За финансовую помощь форуму !!! Благодарность от форума Более 50 созданных тем За время в онлайне на форуме
  • Дата регистрации: Янв. 2016
  • Расположение: Ростов-на-Дону
  • Возраст: 38
  • Сообщений: 1757
  • Страна: ru
  • Поблагодарили: 146 раз(а)
  • Репутация +22/-5
  • Пол: Мужской
  • Дата рождения:
    1984-03-10
SQL Injection
« Ответ #7 : 14 Марта 2016, 20:09:07 »
не знаю что у вас за сканер у меня вот так
http://dl3.joxi.net/drive/0002/1976/186296/160314/3e50b78c04.png
SQL Injection

Поделись сканером!?
 

kvozimir

  • снова в skype --> kvozimir
  • *
  • *
  • Оффлайн
  • Награды Более 1750 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация  более 25 Более 50 созданных тем Благодарность от форума За помощь пользователям За время в онлайне на форуме
  • Дата регистрации: Фев. 2016
  • Возраст: 30
  • Сообщений: 1997
  • Страна: ru
  • Поблагодарили: 239 раз(а)
  • Репутация +39/-1
  • Пол: Мужской
  • Дата рождения:
    1992-04-18
    Социальные сети:
    ВКонтакте
SQL Injection
« Ответ #8 : 14 Марта 2016, 20:11:44 »
 

lessy

  • *
  • Оффлайн
  • Награды Более 6 лет на форуме !!! Более 50 сообщений
  • Дата регистрации: Март 2016
  • Расположение: Крым
  • Возраст: 31
  • Забанен!
  • Сообщений: 81
  • Страна: ru
  • Репутация +1/-2
  • Пол: Мужской
  • Фермеры обеденитесь!!
  • Дата рождения:
    1991-07-02
SQL Injection
« Ответ #9 : 14 Марта 2016, 20:38:25 »
сканер хорош но платный((
a:0:{}
 

kvozimir

  • снова в skype --> kvozimir
  • *
  • *
  • Оффлайн
  • Награды Более 1750 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация  более 25 Более 50 созданных тем Благодарность от форума За помощь пользователям За время в онлайне на форуме
  • Дата регистрации: Фев. 2016
  • Возраст: 30
  • Сообщений: 1997
  • Страна: ru
  • Поблагодарили: 239 раз(а)
  • Репутация +39/-1
  • Пол: Мужской
  • Дата рождения:
    1992-04-18
    Социальные сети:
    ВКонтакте
SQL Injection
« Ответ #10 : 14 Марта 2016, 20:42:22 »
сканер хорош но платный((
особой разницы нет в платной и бесплатной версии
 

lessy

  • *
  • Оффлайн
  • Награды Более 6 лет на форуме !!! Более 50 сообщений
  • Дата регистрации: Март 2016
  • Расположение: Крым
  • Возраст: 31
  • Забанен!
  • Сообщений: 81
  • Страна: ru
  • Репутация +1/-2
  • Пол: Мужской
  • Фермеры обеденитесь!!
  • Дата рождения:
    1991-07-02
SQL Injection
« Ответ #11 : 14 Марта 2016, 21:19:34 »
в безплатной не показует исправления
 

kvozimir

  • снова в skype --> kvozimir
  • *
  • *
  • Оффлайн
  • Награды Более 1750 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация  более 25 Более 50 созданных тем Благодарность от форума За помощь пользователям За время в онлайне на форуме
  • Дата регистрации: Фев. 2016
  • Возраст: 30
  • Сообщений: 1997
  • Страна: ru
  • Поблагодарили: 239 раз(а)
  • Репутация +39/-1
  • Пол: Мужской
  • Дата рождения:
    1992-04-18
    Социальные сети:
    ВКонтакте
SQL Injection
« Ответ #12 : 14 Марта 2016, 21:51:40 »
в безплатной не показует исправления
скрин показывал с бесплатного
 

lessy

  • *
  • Оффлайн
  • Награды Более 6 лет на форуме !!! Более 50 сообщений
  • Дата регистрации: Март 2016
  • Расположение: Крым
  • Возраст: 31
  • Забанен!
  • Сообщений: 81
  • Страна: ru
  • Репутация +1/-2
  • Пол: Мужской
  • Фермеры обеденитесь!!
  • Дата рождения:
    1991-07-02
SQL Injection
« Ответ #13 : 14 Марта 2016, 22:18:37 »
http://fermes.top/1.bmp
SQL Injection
у меня так))
 

lessy

  • *
  • Оффлайн
  • Награды Более 6 лет на форуме !!! Более 50 сообщений
  • Дата регистрации: Март 2016
  • Расположение: Крым
  • Возраст: 31
  • Забанен!
  • Сообщений: 81
  • Страна: ru
  • Репутация +1/-2
  • Пол: Мужской
  • Фермеры обеденитесь!!
  • Дата рождения:
    1991-07-02
SQL Injection
« Ответ #14 : 14 Марта 2016, 22:19:58 »
все понял надо выбрать починить автоматом))
 

partner2

  • *
  • Оффлайн
  • Награды Три года на форуме !!!
  • Дата регистрации: Фев. 2018
  • Сообщений: 2
  • Страна: ge
  • Репутация +0/-0
  • Пол: Мужской
SQL Injection
« Ответ #15 : 05 Мая 2018, 22:43:44 »
Обычный нормальный бесплатный сканер! Я такое в первый раз слышу чтобы сканер ещё и сам исправлял! Он только выделяет конкретно вредоносный код от куда и до куда!

 

finans13

  • *
  • Оффлайн
  • Награды Болеее 500 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация более 10 За время в онлайне на форуме Более 10 созданных тем
  • Дата регистрации: Март 2016
  • Возраст: 42
  • Сообщений: 619
  • Страна: ru
  • Поблагодарили: 107 раз(а)
  • Репутация +15/-2
  • Пол: Мужской
  • Дата рождения:
    1980-07-13
    Социальные сети:
    ВКонтактеОдноклассники
SQL Injection
« Ответ #16 : 06 Мая 2018, 19:02:14 »
Хороший этот сканер, который Леха кинул, я просто делаю так, собираю 4-5 скиптов, покупаю на сутки тариф и сразу все правлю.. там показывает как и что тебе надо.
«Металлоизделия» ведет свою деятельность по изготовлению эксклюзивных кованых и металлических изделий в Красноярске.
https://24svark.ru
+7 (908) 205-81-82
 

whoohaw

  • *
  • *
  • Оффлайн
  • Награды За помощь пользователям Более 250 сообщений За финансовую помощь форуму !!! Более 4 лет на форуме !!! Репутация более 15 За время в онлайне на форуме Более 10 созданных тем
  • Дата регистрации: Апр. 2018
  • Расположение: Тверь
  • Возраст: 34
  • Сообщений: 320
  • Страна: ru
  • Поблагодарили: 25 раз(а)
  • Репутация +17/-1
  • Пол: Мужской
  • Дата рождения:
    1988-09-21
    Социальные сети:
    ВКонтакте
SQL Injection
« Ответ #17 : 17 Мая 2018, 00:37:40 »
Проверять скрипты сканером - это равносильно тому, как Вы будете переходить дорогу с закрытыми глазами. Если повезет - то перейдете.

Например, один из предложенных вариантов исправления скрипта на экранирование символов -  mysql_real_escape_string() уже не будет работать корректно на новых версиях PHP. Да и фильтрацией это трудно назвать. Это лишь составная правильной фильтрации. Одним mysql_real_escape_string не обойтись на приведенную переменную в примере. Работа такого сканера построена на поиске POST и GET запросов, и предложении распространенных вариантов исправления. Но не везде нужна фильтрация для этих запросов и не везде подходят эти варианты. Сканер не понимает работу Ваших скриптов и он не знает какие данные поступают на сервер. Я Вам рекомендую перечитать несколько статей о корректности фильтрации и при чем по несколько раз! Это нужно не для того, чтобы запомнить где и что использовать, это необходимо для того, что бы научиться понимать правильность и корректность фильтраций.
PS: Все сводится к использованию PDO на PHP+mysql, а там фильтрация не нужна! Вот так вот.
 

andreysVes

  • *
  • Оффлайн
  • Награды Три года на форуме !!!
  • Дата регистрации: Май 2018
  • Расположение: Россия
  • Возраст: 41
  • Забанен!
  • Сообщений: 1
  • Страна: dk
  • Репутация +0/-0
  • Пол: Мужской
  • Дата рождения:
    1981-12-05
SQL Injection
« Ответ #18 : 21 Мая 2018, 08:34:21 »
Проблема такая, sql injection в моде нашли, никто не подскажет, как защититься от этого? И как вообще найти эту дыру
 

finans13

  • *
  • Оффлайн
  • Награды Болеее 500 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация более 10 За время в онлайне на форуме Более 10 созданных тем
  • Дата регистрации: Март 2016
  • Возраст: 42
  • Сообщений: 619
  • Страна: ru
  • Поблагодарили: 107 раз(а)
  • Репутация +15/-2
  • Пол: Мужской
  • Дата рождения:
    1980-07-13
    Социальные сети:
    ВКонтактеОдноклассники
SQL Injection
« Ответ #19 : 21 Мая 2018, 11:10:03 »
Проблема такая, sql injection в моде нашли
выше дали сканер который тебе поможет найти и исправить. вискас хоть жути и ногнал по сканерам но они хорошо помогают.то что через сканеры чистил, не разу никто не ломал. Проходишь по стондартным фаилам загрузки, аватар, чат, кнб.. и тому бодобное,,, ставишь на все фаилы права только на чтение, пароль с привязкой кошелька, и все будет замечательно.. главное по меньше модулей с паблика, кнб я уже тут писал как его дербанят.
 

maks161

  • *
  • *
  • *
  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 1750 сообщений Репутация более 15 Топ 10 по созданным темам Топ 10 по сообщениям За финансовую помощь форуму !!! Благодарность от форума Более 50 созданных тем За время в онлайне на форуме
  • Дата регистрации: Янв. 2016
  • Расположение: Ростов-на-Дону
  • Возраст: 38
  • Сообщений: 1757
  • Страна: ru
  • Поблагодарили: 146 раз(а)
  • Репутация +22/-5
  • Пол: Мужской
  • Дата рождения:
    1984-03-10
SQL Injection
« Ответ #20 : 21 Мая 2018, 18:37:05 »
выше дали сканер который тебе поможет найти и исправить. вискас хоть жути и ногнал по сканерам но они хорошо помогают.то что через сканеры чистил, не разу никто не ломал. Проходишь по стондартным фаилам загрузки, аватар, чат, кнб.. и тому бодобное,,, ставишь на все фаилы права только на чтение, пароль с привязкой кошелька, и все будет замечательно.. главное по меньше модулей с паблика, кнб я уже тут писал как его дербанят.
Вискас прав. Я поддерживаю а сканеры это все чипуха тебе просто везло что после сканера не ломали.
 

finans13

  • *
  • Оффлайн
  • Награды Болеее 500 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация более 10 За время в онлайне на форуме Более 10 созданных тем
  • Дата регистрации: Март 2016
  • Возраст: 42
  • Сообщений: 619
  • Страна: ru
  • Поблагодарили: 107 раз(а)
  • Репутация +15/-2
  • Пол: Мужской
  • Дата рождения:
    1980-07-13
    Социальные сети:
    ВКонтактеОдноклассники
SQL Injection
« Ответ #21 : 21 Мая 2018, 19:26:04 »
Вискас прав. Я поддерживаю а сканеры это все чипуха тебе просто везло что после сканера не ломали.
Да не гоните беса вместе с вискасом, да не вопрос школьникам надо рассказывать, что чистка и т.д. только через супер прогеров,,, у меня 3 буксика, по 2 года каждому, и мне не хрена не повезло, чистил я их именно через этот сканер, и не одна курва уже 2 года ни чего ломануть не может.. Грамотна главна настрой, и не ставь беспантовые - дрявые модули с паба. и будет тебе счастье.

Добавлено сообщение: 21 Мая 2018, 19:30:50
Да не гоните беса вместе с вискасом, да не вопрос школьникам надо рассказывать, что чистка и т.д. только через супер прогеров,,, у меня 3 буксика, по 2 года каждому, и мне не хрена не повезло, чистил я их именно через этот сканер, и не одна курва уже 2 года ни чего ломануть не может.. Грамотна главна настрой, и не ставь беспантовые - дрявые модули с паба. и будет тебе счастье.
Плюс пятерым людям игры делал, и не у кого не копейки не угнали, обходился только сканерами, получается им тоже повезло.
 

maks161

  • *
  • *
  • *
  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 1750 сообщений Репутация более 15 Топ 10 по созданным темам Топ 10 по сообщениям За финансовую помощь форуму !!! Благодарность от форума Более 50 созданных тем За время в онлайне на форуме
  • Дата регистрации: Янв. 2016
  • Расположение: Ростов-на-Дону
  • Возраст: 38
  • Сообщений: 1757
  • Страна: ru
  • Поблагодарили: 146 раз(а)
  • Репутация +22/-5
  • Пол: Мужской
  • Дата рождения:
    1984-03-10
SQL Injection
« Ответ #22 : 21 Мая 2018, 21:34:27 »
ну да игорь с каких это пор ты стал великим прогером.
 

whoohaw

  • *
  • *
  • Оффлайн
  • Награды За помощь пользователям Более 250 сообщений За финансовую помощь форуму !!! Более 4 лет на форуме !!! Репутация более 15 За время в онлайне на форуме Более 10 созданных тем
  • Дата регистрации: Апр. 2018
  • Расположение: Тверь
  • Возраст: 34
  • Сообщений: 320
  • Страна: ru
  • Поблагодарили: 25 раз(а)
  • Репутация +17/-1
  • Пол: Мужской
  • Дата рождения:
    1988-09-21
    Социальные сети:
    ВКонтакте
SQL Injection
« Ответ #23 : 21 Мая 2018, 23:23:15 »
Сканер - есть сканер. Даже платный сканер это только 70-80% реальной защиты. Он не человек и он даже может не увидеть всех прикрас скрипта и пропустить инъекцию, только потому, что она прописана и объявлена в скрипте нестандартно.
Сканер работает только по своему алгоритму. Любой входящий текст от пользователя он будет фильтровать по mysql_real_escape_string. Функция сама по себе одна не отфильтрует от всех уязвимостей, да и она является устаревшей. Если твои буксы еще никто не ломал - я очень рад, но это еще не значит, что он не уязвим. Либо не столь популярен среди остальных на фоне, либо его не трогал еще опытный взломщик.

Со своей стороны я только поддерживаю проекты, которые работают долго и платят пользователям. Поддерживаю админов, которые заботятся о безопасности проектов. Но, поверь, на моей практике не мало случаев, когда одним сканером не обходилось. Может букс изначально был не столь дыряв, что пройдя сканером, удалось достаточно защититься.

Фермы страдают больше и чаще, так как они признано завоевывают бОльший интерес пользователей и школьников )))
 

finans13

  • *
  • Оффлайн
  • Награды Болеее 500 сообщений Более 6 лет на форуме !!! Топ 10 по созданным темам Топ 10 по сообщениям Репутация более 10 За время в онлайне на форуме Более 10 созданных тем
  • Дата регистрации: Март 2016
  • Возраст: 42
  • Сообщений: 619
  • Страна: ru
  • Поблагодарили: 107 раз(а)
  • Репутация +15/-2
  • Пол: Мужской
  • Дата рождения:
    1980-07-13
    Социальные сети:
    ВКонтактеОдноклассники
SQL Injection
« Ответ #24 : 22 Мая 2018, 19:10:01 »
ну да игорь с каких это пор ты стал великим прогером
а ты с каких пор им стал
мне то люди доверяют, я им проекты открываю, и у меня проекты уже по 2 года работают без косяков, так что это о чем то говорит. По русски еще раз пишу, имей чистый скрипт, и не ставь туда Цензура модули...
Да и с тех пор стал им когда люди начали обращаться, и все у них стало замечательно, а у вас только одно... деньги за копеечную помощь, вот проекты http://prntscr.com/jl7xpg не когда в жизни их не перебьете, если даже всей бандой на этом форуме соберетесь, но эти проекты, не одна масть не смогла ломануть, вот тебе и результат.. значит стал. Ребятам помогал.
 
Теги: