Diskuze: Příklad Injection,XSS,Session

Aktivity

David

Člen

David:1.2.2017 17:59

Zdravím,

chtěl bych si na localhostu vyzkoušet v aplikaci mezery a ty využit prostřednictvím uvedených útoků.

Ale například u injection,kdy jsem si chtěl udělat přihlášení do aplikace za pomoci zastaralé syntaxe mysql query,tak je zablokovaná a háže error. Nevěděl by někdo nějaké příklady syntaxe pro uvedené útoky ? Jenž by byly spustitelné na nové verzi PHP a MySQL ?

Díky za info

Odpovědět

1.2.2017 17:59

David

Člen

David:4.2.2017 9:30

if(isset($_POST['sent'])) {
    $nameUser =  $_POST["name_User"];
    $passwordUser = $_POST["password_User"];

    $md5heslo = md5($passwordUser);


    $dotaz = $spojeni->query("select * from uzivatele where nameUser = '$nameUser' and passwordUser = '$md5heslo'");
    $overeni = mysqli_num_rows($dotaz);
    $row = mysqli_fetch_array($dotaz);
    if ($overeni == 1) {
        echo "Jste přihlášen";
        die();
    } else {
        echo "Nejste přihlášen";
        exit();
    }
}
?>

Tak jsem si vytvořil tento jednoduchý dotaz. Stím,že bych si na něm vyzkoušel Injection. Ale stejně mi to nějak nejde Můžete poradit ?

Nahoru Odpovědět

4.2.2017 9:30

kaskader202

Člen

kaskader202:24.5.2017 11:07

Ahoj, zkus do přihlašovacího jména napsat:

' OR 1=1 LIMIT 1 --

nebo, pokud máš v tabulce sloupec id:

' OR id=1 --

Zkus to a uvidíš (snad jsem to napsal dobře)

Nahoru Odpovědět

24.5.2017 11:07

kaskader202

Člen

kaskader202:24.5.2017 11:11

Nedal jsem odpovědět tak pro jistotu

Nahoru Odpovědět

24.5.2017 11:11

Naučíme tě pracovat na home-office.

Zjistit více...

Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 4 zpráv z 4.