[Discussion] Tấn công SQL Injection trong C# |
19/06/2011 21:02:13 (+0700) | #1 | 241422 |
|
minhhath
Member
|
0 |
|
|
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
|
|
mình dùng Tool Acunetix Web Vulnerability Scanner để scan website thì thấy phát hiện có lỗi SQL Injection nhưng mà website đó phát triển bằng C# nên việc tấn công theo cách dựa vào lỗi SQL Injection của PHP không khả thi vì mình thử nó cứ tìm chạy câu truy vấn đó nhưng không thông báo lỗi nên không thể làm gì tiếp ai có phương án nào hay share với nha |
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
19/06/2011 22:15:23 (+0700) | #2 | 241427 |
|
chube
Member
|
0 |
|
|
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
|
|
- việc tấn công SQL Injection ở C# khác mấy nền kia ở chỗ nào vậy anh ? nó không báo lỗi là do anh làm sai , phương án là tiếp tục thử trong mê cung hoặc quay đầu là kiến thức căn bản hihi/ |
|
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/ |
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
20/06/2011 17:36:47 (+0700) | #3 | 241495 |
|
minhhath
Member
|
0 |
|
|
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
|
|
có lẻ kiến thức của bạn cao hơn mình nhiều.
mình thì chỉ không hiểu nên đưa ra ý kiến để thảo luận.
ví dụ: http://example.com/
mình dùng Tool trên thì nó báo có lỗi SQL Injection nhưng khi mình thêm các giá trị theo hướng dẫn trên Hav thì không thấy có xuất hiện lỗi.mình thêm code như sao.
http://example.vn/#'1' thì nó không thông báo lỗi.
ý mình ở đây nó không đưa ra giá trị như http://example.vn/?id=1 mà là khi click vào các liên kết hay các bài viết nó đều cách nhau dấu # mình không thể chạy câu truy vấn trên trình duyệt được.
mình thấy đó là chổ khác nhau,không biết có phải không.do kiến thức hạn hẹp chỉ hiểu vậy nếu thấy sai anh em góp ý
|
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
24/06/2011 17:01:47 (+0700) | #4 | 242012 |
|
thuypv
Member
|
0 |
|
|
Joined: 11/06/2008 12:25:57
Messages: 64
Offline
|
|
Theo mình việc tấn công SQL Injection trên 1 website C# nếu họ dùng
procedure trong sql server, và dùng đối tượng comman để truyền các parameter thì việc tấn công SQL Injection coi như không khả thi
vì khi đó sql server và comman nó sẽ tự động validate dữ liệu trước khi truyền vào |
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
01/07/2011 17:12:25 (+0700) | #5 | 242586 |
|
minhhath
Member
|
0 |
|
|
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
|
|
theo bạn thì nên dùng phương án gì để khai thác lỗi đó?
|
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
01/07/2011 21:51:36 (+0700) | #6 | 242602 |
|
thuypv
Member
|
0 |
|
|
Joined: 11/06/2008 12:25:57
Messages: 64
Offline
|
|
Nếu họ đã khắc phục bằng cách dùng procedure trong sql server và đối tượng SQLComman rồi thì lỗi đó đã được họ bịt rồi, ko có cách khai thác nữa đâu
Tìm cách khai thác lỗ hổng khác đi, có thể xem các mục upload của họ xem có cho upload file thoải mái ko
Hoặc xem phần đăng nhập của họ, có phần nhập ký tự đặc biệt và cho sai thoải mái không |
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
03/07/2011 08:13:25 (+0700) | #7 | 242683 |
|
minhhath
Member
|
0 |
|
|
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
|
|
cảm ơn bạn đã định hướng giúp mình nhưng mình dùng tools thì nó vẫn baod lỗi SQL Injection đấy thôi,nhưng nó có chú ý thế này cái website đó nếu mình thêm ##xa7 vào link thì nó có thay đổi giao diện website trông không giống ban đầu |
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
03/07/2011 15:26:59 (+0700) | #8 | 242692 |
nXqd
Member
|
0 |
|
|
Joined: 16/03/2010 06:23:23
Messages: 4
Offline
|
|
Thực sự mình chưa hiểu rõ câu hỏi của chủ thread lắm. Nếu bạn dùng setting parameter theo cấu trúc set chuẩn của từng ngôn ngữ thì khả năng bị SQLInjection là rất thấp.
Còn nếu bạn chèn như chèn string thì đương nhiên khả năng bị là có |
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
04/07/2011 18:59:10 (+0700) | #9 | 242747 |
congrallion
Member
|
0 |
|
|
Joined: 09/02/2007 18:05:09
Messages: 4
Offline
|
|
Sao bạn không thử public site lên ae xem thử nhỉ
Hay site bị ở những biến ẩn đc run bằng jquery nhỉ |
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
04/07/2011 22:27:22 (+0700) | #10 | 242752 |
|
minhhath
Member
|
0 |
|
|
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
|
|
mình cũng muốn Public nhưng vì đây là website của một tổ chức nhà nước mình không thể tuỳ tiện Public được bạn thông cảm nha.
mình chỉ muốn khai thác lỗi này thành công thì mình sẻ gặp Admin của website để thông báo.
ý mình là tại sao mình dùng Tools scan thấy có lỗi SQL Injection nhưng khi mình truyền giá trị thì nó vali hết rồi,bạn nào có ý kiến cho mình học hỏi thêm thanks đã đọc bài viết |
|
|
|
|
[Discussion] Tấn công SQL Injection trong C# |
06/07/2011 12:11:18 (+0700) | #11 | 242885 |
kiddycoder
Member
|
0 |
|
|
Joined: 05/07/2011 11:21:05
Messages: 1
Offline
|
|
Nếu coder sử dụng đối tượng SqlCommand và sql toàn dùng store procedure thì không khai thác đựoc gì đâu. |
|
|
[Discussion] Tấn công SQL Injection trong C# |
13/07/2011 09:41:22 (+0700) | #12 | 243418 |
|
minhhath
Member
|
0 |
|
|
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
|
|
theo bạn mình không thể khai thác bằng lỗi SQL Injection được sao?
mình mới tìm ra lỗi SSL nhưng không am hiểu nhiều mong các bạn chỉ bao thêm
Thân ái đã xem bài viết |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|