Konuyu Oyla:
  • Toplam: 0 Oy - Ortalama: 0
  • 1
  • 2
  • 3
  • 4
  • 5
   
Konu: ByPass Mantığı + Videolu
KingSkrupellos
*
avatar
Hacktivist
Durum: Çevrimdışı
Seviye Puanı: 55
Yaşam Puanı: 1,355 / 1,355
Deneyim: 22 / 100
Rep Sayısı: 2688
Mesaj Sayısı: 6096
Üyelik Tarihi: 21.08.2013
     
Yorum: #1
ByPass Mantığı + Videolu
30.09.2013 12:35
Video = http://www.youtube.com/watch?v=dE9FI-JY7XI

SQL INJECTION Forbidden Geçme ve Bypass

Sa arkadaşlar birçok arkadaşımız sitede açığı buluyor fakat bazen bypass aşamıyor //--+++** gibi işaretlerle deniyorlar fakat sonuç vermiyor.İlk olarak mantığı anlamaya çalışalım neden bypass ediyor hatayı kapatmaktansa neden bypass ?

Biliyorsunuzki sql geniş bir dil a yerine A yazsa problem çıkıyor Şimdi bunu böyle 2 saat arıyacağımıza hatayı bypass ederiz mantığıyla düşünüyorlar.

ee tabi hatayı ar***tan daha iyidir internette biraz araştırıyorlar yada bir şekilde sitenin sonundaki değerlere yazı yazılmasını engelliyorlar Tabi bütün herşeyi engelliyemezler.Sistemde bir hata var her şekilde biryerlerden o hata çıkacaktır.+ o,r,d,e,r gibi dbden veri çeken kodları yasaklıyorlar ve buna forbidden diyoruz peki nasıl aşıcaz ? +*- gibi karekterlerle

ee bunlarda olmadı ne yapacaz ? hexleme işlemini tabikide hexliyerek bypass edebilirsiniz.Buda olmassa ne yapacağız ? artık özel karekterleri deniyecez.

Örnek veriyorum..

site.php?id=23 union select 1,2,3 ve baktık forbidden yada sayfa yüklenmiyor.

deniyoruz şimdi site.php?id=--23 ((union select 1,2,3))

bunladamı aşamıyoruz.Bakın bir çok kullanıcının aklına gelmez # koymak.Burda esas olan kodu bypass etmek değildir önemli olan değeri bypass etmektir.Kod yasak sistem zaten bunu okutmaya izin vermez.Fakat değeri bypass edersek değerdeki id değeri değişmiş olacaktır bu yüzden değeride farklı okuduğu için dbdeki açıklar sayfaya yansıyacaktır.

Habirde bazen sayfaya kırık resim linki olarak vuruyor bundaki sebeb dbnin resmin urlsinde olmasıdır resmin sağ click'le farklı bir sekmede açtığınızda resmin sonunda istenilen kodlar olacaktır.
__________________
(Bu konu en son: 30.09.2013 Tarihinde, Saat: 12:36 düzenlenmiştir. Düzenleyen: KingSkrupellos.)

We don't care what people think about us, we are proud of us, we not gonna change for anyone. I do not have own no website. No Contact. # KingSkrupellos # Cyberizm Digital Security Technological Turkish Moslem Army.

cyberizm

Alinti
ERTUĞRUL
*
avatar
Teğmen
Durum: Çevrimdışı
Seviye Puanı: 23
Yaşam Puanı: 311 / 566
Deneyim: 66 / 100
Rep Sayısı: 261
Mesaj Sayısı: 676
Üyelik Tarihi: 28.02.2015
     
Yorum: #2
Cvp: ByPass Mantığı + Videolu
04.01.2016 13:03
Eline Sağlık
Alinti



1 Ziyaretçi