Курсы анализа безопасности веб приложений для новичков от Stepic

Discussion in 'Песочница' started by yarbabin, 14 Sep 2015.

  1. zimmer

    zimmer Active Member

    Joined:
    19 Jun 2015
    Messages:
    140
    Likes Received:
    130
    Reputations:
    1
    есть тут победившие скул инъекцию задание?
     
  2. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,664
    Likes Received:
    912
    Reputations:
    363
    да, можете задавать вопросы.
     
    _________________________
  3. zimmer

    zimmer Active Member

    Joined:
    19 Jun 2015
    Messages:
    140
    Likes Received:
    130
    Reputations:
    1
    да собственно дальше авторизации под админом и не могу ниче сделать!))))
     
  4. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    ну для прохождения задания вам и нужно авторизоваться, только не под админом (не id=1).
     
    zimmer and yarbabin like this.
  5. zimmer

    zimmer Active Member

    Joined:
    19 Jun 2015
    Messages:
    140
    Likes Received:
    130
    Reputations:
    1
    я авторизовался введя в форму логина admin' or 1=1; -- , вопрос в том, как авторизоваться под этим пришельцем????)))))
     
  6. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    Ну вы посмотрите на свое решение и подсказку в моем сообщении, и попробуйте скомпилировать :). Я если честно не знаю как еще прозрачнее подсказать, что бы это уже не было готовым решением. Возможно, уважаемый yarbabin сможет подсказать еще прозрачнее, не раскрывая решения полностью.
     
  7. zimmer

    zimmer Active Member

    Joined:
    19 Jun 2015
    Messages:
    140
    Likes Received:
    130
    Reputations:
    1
    :) чет вообще нихрена вкурить не могу!!!!))))) можно мне решение в личку написать? хоть допру в чем затупил!!!!))))
     
  8. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,565
    Reputations:
    40
    'or 1=1 это не важно что дай дайди 1 (админ ) А ВОТ ДОПУСТИМ 2=2 3=3 КАК ВАРИАНТ. Я сам пока не смотрел, это только гепотиза
     
  9. private_static

    Joined:
    19 May 2015
    Messages:
    118
    Likes Received:
    76
    Reputations:
    22
    or 1=1, 2=2 ,3=3 это просто трюк который даёт логическую единицу, тоесть при A || B и при B=true результат будет true вне зависимости от истинности высказывания A,можно писать хоть or 6*4=24 - вернёт true
    думаю в данном случае решением будет чтото вроде '1=2 or user_id=2 and 1=1 --
     
  10. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,565
    Reputations:
    40
    Точно , id =нужное значение..
     
  11. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    239
    Likes Received:
    441
    Reputations:
    142
    Там сложность может возникнуть только с параметром, можно кавычкой отсечь логин и конструкцией or id = (номер) -- перебирать до нужного пользователя,всего их 14, так что можно и руками
     
    frank likes this.
  12. White Raven

    White Raven New Member

    Joined:
    15 Oct 2015
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    а еще новые курсы выйдут ???
     
  13. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    239
    Likes Received:
    441
    Reputations:
    142
    Поставьте NOWASP (Mutillidae) и пройдитесь по OWASP Top 10. Хорошее продолжение курса.
     
    bardak and White Raven like this.
Loading...