[Question] MySQL injection có thể hành động trên IIS? |
19/04/2008 15:04:21 (+0700) | #1 | 126246 |
Trước đến giờ tôi chỉ thấy MySQL Injection, upload shell trên Linux. Liệu có thể làm được trên Windows và IIS cứ cho là IIS dùng PHP và MySQL. Mọi người cùng thảo luận nha.
Phương án:
Dùng hàm load_file, thử load cái này: C:\boot.ini he he Còn chỗ nào để load nữa không?
Có thể xác nhận được Virtual Site không? Vì đa số các trang dùng IIS thường dùng cái này
Ai còn vấn đề nào nữa không?
Góp ý: Phần soạn thảo trong rum này tôi nghĩ cũng nên để textbox màu đen cho sync luôn. |
|
|
|
|
[Question] MySQL injection có thể hành động trên IIS? |
20/04/2008 00:17:45 (+0700) | #2 | 126288 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] MySQL injection có thể hành động trên IIS? |
20/04/2008 07:35:17 (+0700) | #3 | 126342 |
|
|
[Question] MySQL injection có thể hành động trên IIS? |
20/04/2008 10:42:56 (+0700) | #4 | 126363 |
|
ThíchHắcKinh
Member
|
0 |
|
|
Joined: 05/11/2007 21:56:23
Messages: 85
Location: Thiếu Lâm Tự
Offline
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
20/04/2008 16:10:24 (+0700) | #5 | 126420 |
Tại sao bạn không nói thẳng ra luôn mà phải vòng vo nhầm lẫn?
Để thực thi được lệnh của Windows thì phải xem xem hệ cơ sở dữ liệu đang sử dụng là thằng nào trước đã rồi mới nói tới chuyện chạy được lệnh này lệnh nọ của windows chứ nhỉ?
Dùng MySQL 5.0 trên Windows. Vậy liệu có thể bị khai thác vì tôi tìm khá nhiều cái tương tự như exec thì thấy MySQL không hỗ trợ để thực thi command như MSSQL vẫn thường gặp. Nếu vẫn làm được, mong bạn đưa ra ví dụ cụ thể hơn là nhận xét về kiến thức.
Lại nữa rồi... sao bạn biết IIS khá an toàn trong việc tránh upload shell?... Và vì sao khó mà biết site đang đặt ở thư mục nào?? Tôi nghĩ cái kiến thức nữa vời như thế chỉ hại thêm chứ chẳng giúp ích cho bạn được gì. Nếu bạn thực sự muốn nghiên cứu bảo mật để mà phòng tránh tôi nghĩ tốt nhất bạn nên bắt đầu từ các khái niệm. Đừng nên xem góp ý của người khác như là một sự đả kích rồi nhảy đỏng lên. Cái kiểu đó cả đời sẽ không bao giờ khá nổi.
Vậy tôi xin phép được hỏi:
Nếu không thực thi được command thì làm sao xác định được nó đang nằm ở thư mục nào. Trên *nix thì có thể xác nhận phiên bản Apache rồi dễ dàng đọc file vì đa số đều cài mặc định như: /ect/apache2/site-available/default là có thể biết được trang đó đang được đặt ở thư mục nào thông qua hàm load_file của MySQL. Đối với IIS thì tôi chưa biết hacker có thể đọc file nào để xác nhận nếu tôi tạo Virtual Directory ở nơi nào đó nên cũng có thể xem là khá an toàn. Nếu không đúng mong bạn cho một ví dụ cụ thể.
Bạn sẽ làm được gì nếu upload vào C: trong khi PHP chỉ hiệu lực với thư mục nào đó đang ở đâu đó?
Nếu kiến thức của tôi dở thì mong các bạn đưa ra luôn ví dụ cho dễ thấy nhất những cái dở của tôi hơn là nói nó linh tinh, cảm ơn. |
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
20/04/2008 16:24:49 (+0700) | #6 | 126422 |
|
ThíchHắcKinh
Member
|
0 |
|
|
Joined: 05/11/2007 21:56:23
Messages: 85
Location: Thiếu Lâm Tự
Offline
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
20/04/2008 17:22:50 (+0700) | #7 | 126423 |
Trời đất ơi, nó không liên quan nhưng nó là bàn đạp để khai thác.
Nếu bạn nói thế thì IIS trên windows mặc định thì website nằm ở đâu? chẳng lẽ có sự khác nhau à?
Bạn không biết cái Virtual Directory của IIS sao? Tất nhiên mặc định là nằm ở C:\Inetpub\wwwroot\ nhưng tôi bỏ ở J:\Website02342990\ cũng được.
Bạn chỉ dựa vào thông tin là nếu không biết được Vitual Directory gì đó nằm ở đâu rồi thế là phán nó an toàn à? như thế chẳng phải mập mờ là gì ? Nếu đã upload được shell rồi thì tại sao phải upload trong c: nhỉ ???!!! , còn nữa, php chỉ hiệu lực với thư mục nào đó ở đâu đó là gì vậy đó? nếu website mắc lỗi sql injection thì mắc mớ gì phải làm những thứ như thế chứ, Những thứ này có chẳng thấy liên quan gì nhiều đến SQL Injection cả. Vậy chẳng phải là ko hiểu rõ sql injection nên mới hỏi lung tung thế chẳng đúng sau
Không up vào C:\ thì biết vào đâu? Hình như không có cách nào để execute command trong Win bằng MySQL, vì vậy nên đâu có dir để tìm thư mục được. Còn về PHP thì nếu không thì nếu chạy với IIS thì có hiệu lực với J:\Website02342990\ chứ C:\Windows thì không chạy được PHP. Nếu bị lỗi SQL Injection cụ thể là MySQL thì phải làm sao vậy bạn?
Cũng có thể thông cảm được vì các bạn chưa hiểu rõ câu hỏi, nó như thế này:
Server đang chạy IIS, MySQL có PHP và ASP, .NET
Có thể không may nó bị dính SQL Injection trên trang web, ngoài ra các thứ khác có thể vẫn bình thường.
Trường hợp xấu nhất nếu không giải quyết hết SQL Injection thì có thể bị khai thác mà chỉ thông qua SQL Injection hay không? Ví dụ như upload cái gì đó, cài backdoor... |
|
|
|
|
[Question] MySQL injection có thể hành động trên IIS? |
20/04/2008 20:53:29 (+0700) | #8 | 126430 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bietchetlien007 wrote:
conmale wrote:
bietchetlien007 wrote:
Trước đến giờ tôi chỉ thấy MySQL Injection, upload shell trên Linux. Liệu có thể làm được trên Windows và IIS cứ cho là IIS dùng PHP và MySQL. Mọi người cùng thảo luận nha.
Phương án:
Dùng hàm load_file, thử load cái này: C:\boot.ini he he Còn chỗ nào để load nữa không?
Có thể xác nhận được Virtual Site không? Vì đa số các trang dùng IIS thường dùng cái này
Ai còn vấn đề nào nữa không?
Góp ý: Phần soạn thảo trong rum này tôi nghĩ cũng nên để textbox màu đen cho sync luôn.
SQL injection không phân biệt và giới hạn hệ điều hành.
SQL injection không liên quan gì đến virtual site.
Còn vấn đề: nắm cho vững bản chất SQL injection là gì trước khi hỏi linh tinh.
Tất nhiên rồi thưa anh. Thế nhưng:
PHP đâu có giống với ASP để có thể chạy được lệnh của Windows thông qua SQL Injection.
Dù không liên quan nhưng kẻ tấn công muốn vào thì phải biết PHP đang được chạy ở thư mục nào thì may ra mới hành động được. Công việc xem ra không đơn giản như việc đọc file httpd.conf để xác nhậnn Virtual Directory một cách dễ dàng.
Xem ra IIS khá an toàn trong việc tránh upload shell vì khó mà biết site đang đặt ở thư mục nào để upload shell lên
Vấn đề nữa là: tôi nghĩ anh cũng nên bỏ cái thói quen cứ ai hỏi cái gì thì cũng nói vài câu mang vẻ ta đây rồi cho nó linh tinh đi, thảo luận thâm nhập mục đích cũng muốn biết xem hệ thống trong trường hợp nào đó có thể bị khai thác để mà tránh chứ không có linh tinh như anh đang nói.
Khi tôi cho rằng sự việc linh tinh thì tôi nói thẳng là linh tinh chớ chẳng cần phải ra vẻ "ta đây".
Tôi đã nói:
conmale wrote:
SQL injection không phân biệt và giới hạn hệ điều hành.
SQL injection không liên quan gì đến virtual site.
là đã quá đủ để chứng minh cho sự linh tinh trong vấn đề được đặt ra.
a. Cho rằng "PHP đâu có giống với ASP để có thể chạy được lệnh của Windows thông qua SQL Injection" --> về học lại căn bản SQL Injection và tính năng xp_cmdshell của Windows. xp_cmdshell thuộc cái gì mà giới hạn php hay asp?
b. Cho rằng "Dù không liên quan nhưng kẻ tấn công muốn vào thì phải biết PHP đang được chạy ở thư mục nào thì may ra mới hành động được. Công việc xem ra không đơn giản như việc đọc file httpd.conf để xác nhậnn Virtual Directory một cách dễ dàng." ---> về học lại căn bản IIS và apache.
- Tôi đặt httpd.conf ở /path/nao/do/toi/thich thì bồ làm sao biết để mà đọc? Chẳng những thế, tôi còn gán quyền chỉ có root mới đọc được nó thì ở mức độ SQL inj làm sao có quyền để đọc httpd.conf?
- IIS không có config tương tự như httpd? Có nghe đến metabase của IIS chưa?
c. Cho rằng "Xem ra IIS khá an toàn trong việc tránh upload shell vì khó mà biết site đang đặt ở thư mục nào để upload shell lên" --> về học lại căn bản cấu trúc IIS và virtual site của nó. Upshelll thì cần gì phải biết nó ở thư mục nào? Có biết khái niệm web context path là gì không?
3 điểm trên để đủ kết luận linh tinh chưa nhỉ? Đó là chưa kể nếu web server (IIS hoặc apache) và CSDL tách rời ra thành 2 servers độc lập thì việc thực hiện xp_cmdshell trên khuôn khổ SQL injection có dính dáng gì đến IIS server mà nói đến chuyện thư mục thật với thư mục giả?
Biết thì thưa thì thốt, không biết thì dựa cột mà nghe. Đừng để bị phê bình là linh tinh rồi phản ứng. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
20/04/2008 23:21:20 (+0700) | #9 | 126444 |
Tôi vẫn đang dựa cột để nghe, chí ít cũng nên nói rõ như vậy mới đáng để dựa cột mà nghe hơn là những câu nói như kiểu ở bài viết kia. OK, ai không biết thì đi hỏi mà đi hỏi là linh tinh, OK?
Dựa một lúc:
Solution to master..xp_cmdshell in mysql: http://forums.mysql.com/read.php?20,125653,125718#msg-125718
-Anh đặt nhưng nhiều người vẫn cứ mặc định, không bàn cãi về vấn đề này vì đây là ý thức của người cài
- Chưa nghe đến metabase, rất cảm ơn anh.
- Vẫn chưa biết gì về web context path, anh có thể dạy thêm?
3 điểm trên là trình bày và bàn luận về vấn đề nêu ra trong bài viết. Anh muốn kết luận linh tinh để làm gì? Có ích lợi gì không?
Nếu đã biết thì chẳng vào đây bàn làm gì. Người khác không biết, muốn hỏi thì ít ra cũng nên gợi ý, ví dụ gì đó chứ phê bình là linh tinh có ích lợi gì không? |
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
20/04/2008 23:41:46 (+0700) | #10 | 126446 |
|
gamma95
Researcher
|
Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
|
|
@bietchetlien007: Tui ko rành về SQL Injection lắm, nhưng xin góp ý bạn:
- Việc xác định DocumentRoot ko nhất thiết phải đọc file httpd.conf, mà chỉ cần dựa vào một lỗi đơn giản là Path Disclosure ... và SQL injection hoàn toàn có thể làm webapp ọc ra lỗi Path Disclosure
VD
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/website/public_html/includes/class_mysql_.php on line 60
tương tư nếu nó đc cài đặt trên windows
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in E:/website/public_html/includes/class_mysql_.php on line 60
Lúc đó bạn đã xác định được wwwroot rồi chứ ?? . Dùng load_file() chỉ để đọc file thì xem như bạn vẫn chưa biết xài hết nó |
|
Cánh chym không mỏi
lol |
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
21/04/2008 00:09:36 (+0700) | #11 | 126449 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bietchetlien007 wrote:
...
Nếu đã biết thì chẳng vào đây bàn làm gì. Người khác không biết, muốn hỏi thì ít ra cũng nên gợi ý, ví dụ gì đó chứ phê bình là linh tinh có ích lợi gì không?
Nếu không biết thì hỏi mà đã hỏi thì hỏi cho ra hỏi chớ đừng "hỏi" theo kiểu đã nắm chắc.
Phê bình là "linh tinh" có hai điểm lợi:
1) Hỏi cho ra hỏi, đừng lẫn lộn giữa "hỏi" và "phán".
2) Trước khi hỏi nên tư duy ít nhiều về điều mình muốn hỏi. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
21/04/2008 11:39:19 (+0700) | #12 | 126569 |
hongluong
Locked
|
0 |
|
|
Joined: 11/10/2007 18:24:58
Messages: 16
Offline
|
|
Mô phật ,gà cùng 1 mẹ chớ hoài đá nhau |
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 01:46:45 (+0700) | #13 | 126682 |
Nếu PHP có bật magic_quote thì hiện tại chưa có cách để bypass OUTFILE của MySQL 5 dù có dùng CHAR(), CONCAT().
@gamma95: Đôi lúc không có thông báo lỗi gì hoặc có nhưng do dùng hàm viết riêng nên chỉ hiện câu SQL bị lỗi. Theo bạn load_file() còn dùng để làm gì nữa? Cảm ơn.
@conmale: Vậy anh đã tư duy về câu hỏi chưa? Bởi vì câu hỏi không chỉ nói đến SQL Injection! |
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 02:57:46 (+0700) | #14 | 126690 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
@bietchetlien007: bạn đang có những nhầm lẫn căn bản và khá chết người. Nguy hại hơn, bạn đang "áp đặt" cái nhầm lẫn đó vào topic, người ngoài đã "định hướng" cho bạn mà bạn vẫn còn "cố chấp" như thế!
1. SQL Inj không lệ thuộc vào 1 ngôn ngữ lập trình nào, PHP, ASP, JSP v.v...đều có thể bị dính lỗi SQL Inj nếu developer bất cẩn
==> bạn "cứ cho" là server chạy PHP là 1 "cố chấp được áp đặt" thứ nhất.
2. SQL Inj không lệ thuộc vào HDH hay CSDL. Win/Linux, Apache/IIS, MYSQL/MSSQL...đều có thể bị dính lỗi SQL Inj cả.
3. Bạn "áp đặt" SQL Inj với IIS/PHP rồi up shell, run command...để làm gì?
Trong khi từ những cái căn bản và sơ khai nhất là SQL Inj ta có thể có vô vàn cách khai khác khác nhau.
Không phải cứ up được shell, hay chạy được command thì mới gọi là hack!!!
Bạn cứ "cố chấp" như thế sẽ chả đi đến đâu! Trong khi từ cái sơ khởi là SQL Inj, nếu bình tĩnh, sáng suốt và có óc sáng tạo sẽ có thể làm được nhiều cái hay ho mà không cần gì phải upload shell hay execute command cả.
|
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 07:38:50 (+0700) | #15 | 126735 |
Tại sao nhiều người vẫn cứ áp đặt một cách máy móc SQL Injection không lệ thuộc vào ngôn ngữ lập trình, HĐH, CSDL. Nó không phụ thuộc nhưng nó là lỗi của một phần trong cả hệ thống và nếu phần đó không an toàn (có thể do chính bản thân phần đó hoặc do yếu tố ở các phần khác trong hệ thống) thì cả hệ thống sẽ bị gì?
Upload shell, run command là một ví dụ nhỏ nhất cho các bước tiếp theo mà tôi biết là cài trojan hoặc kiểm soát hệ thống thông qua command. Nếu bạn biết mục đích nào khác, rất mong được chỉ dạy.
Nếu không execute command thì bạn có thể làm gì hay ho? Drop database? O_o
PS: Có lẽ nên chuyển bài này qua bên thảo luận bản mật để tránh cho nhiều người cảm thụ nó một cách quá tiêu cực. |
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 10:12:43 (+0700) | #16 | 126757 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
bietchetlien007 wrote:
Tại sao nhiều người vẫn cứ áp đặt một cách máy móc SQL không lệ thuộc vào ngôn ngữ lập trình, HĐH, CSDL. Nó không phụ thuộc nhưng nó một phần của cả hệ thống và nếu nó không an toàn (có thể do chính nó hoặc do yếu tố ở các phần khác trong hệ thống) thì cả hệ thống sẽ bị gì?
Upload shell, run command là một ví dụ nhỏ nhất cho các bước tiếp theo mà tôi biết là cài trojan hoặc kiểm soát hệ thống thông qua command. Nếu bạn biết mục đích nào khác, rất mong được chỉ dạy.
Nếu không execute command thì bạn có thể làm gì hay ho? Drop database? O_o
PS: Có lẽ nên chuyển bài này qua bên thảo luận bản mật để tránh cho nhiều người cảm thụ nó một cách quá tiêu cực.
Giả sử chương trình bị lỗi SQL Inj là 1 chương trình quản lý file, vậy thì tôi chỉ cần tạo 1 account admin, hoặc đưa account của tôi lên quyền admin là có thể login vào hệ thống "quậy tới bến". Cần gì phải upload shell với execute command trong khi chính cái application của mình đã là 1 cái shell "bự chảng" và có thể có luôn 1 số chức năng execute command rồi?
"Drop database" là cái duy nhất bạn nghĩ ra được sao
P/S: Có lẽ nên chuyển topic này sang "Tán gẫu" vì ông chủ topic chỉ cứ khăng khăng suy nghĩ theo lối của mình Cứ nghĩ phải điều khiển được ~100% server thì mới gọi là hack, ặc ặc ặc! |
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 12:27:28 (+0700) | #17 | 126774 |
nbthanh wrote:
bietchetlien007 wrote:
Tại sao nhiều người vẫn cứ áp đặt một cách máy móc SQL không lệ thuộc vào ngôn ngữ lập trình, HĐH, CSDL. Nó không phụ thuộc nhưng nó một phần của cả hệ thống và nếu nó không an toàn (có thể do chính nó hoặc do yếu tố ở các phần khác trong hệ thống) thì cả hệ thống sẽ bị gì?
Upload shell, run command là một ví dụ nhỏ nhất cho các bước tiếp theo mà tôi biết là cài trojan hoặc kiểm soát hệ thống thông qua command. Nếu bạn biết mục đích nào khác, rất mong được chỉ dạy.
Nếu không execute command thì bạn có thể làm gì hay ho? Drop database? O_o
PS: Có lẽ nên chuyển bài này qua bên thảo luận bản mật để tránh cho nhiều người cảm thụ nó một cách quá tiêu cực.
Giả sử chương trình bị lỗi SQL Inj là 1 chương trình quản lý file, vậy thì tôi chỉ cần tạo 1 account admin, hoặc đưa account của tôi lên quyền admin là có thể login vào hệ thống "quậy tới bến". Cần gì phải upload shell với execute command trong khi chính cái application của mình đã là 1 cái shell "bự chảng" và có thể có luôn 1 số chức năng execute command rồi?
"Drop database" là cái duy nhất bạn nghĩ ra được sao
P/S: Có lẽ nên chuyển topic này sang "Tán gẫu" vì ông chủ topic chỉ cứ khăng khăng suy nghĩ theo lối của mình Cứ nghĩ phải điều khiển được ~100% server thì mới gọi là hack, ặc ặc ặc!
Ôi trời, thế nếu trang nào đó không có cả trang admin, hoặc tài khoản admin có khi chẳng đặt chung cả với user, mà nếu có từ SQL Injection lần ra được table chứa admin, username, password thì bạn làm cách nào để biết path để vào trang admin nếu nó không đặt ra ngoài hoặc không phải là những script quen thuộc trên thị trường hoặc không may mắn khi nó không được đặt tên thông dụng? Công nhận cái giả sửa của bạn nó hẹp khá nhiều so với những gì bạn trình bày ở bài viết trước.
Vậy bạn nghĩ ra được gì? Bạn trả lời luôn nhe.
PS: Tôi chỉ là kiddie và thích tìm hiểu hack để bảo mật bản thân hơn tôi sẽ cố gắng không nghĩ bạn là kiddie vì các kiddie thường có suy nghĩ cứ vậy là hack rồi chứ không cần phải kiểm soát ~99.99-100% |
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 12:54:50 (+0700) | #18 | 126781 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
bietchetlien007 wrote:
Tại sao nhiều người vẫn cứ áp đặt một cách máy móc SQL không lệ thuộc vào ngôn ngữ lập trình, HĐH, CSDL. Nó không phụ thuộc nhưng nó một phần của cả hệ thống và nếu nó không an toàn (có thể do chính nó hoặc do yếu tố ở các phần khác trong hệ thống) thì cả hệ thống sẽ bị gì?
Ở đây bồ nhầm mất một chỗ: người ta nói rằng SQL Injection không phụ thuộc vào ngôn ngữ lập trình, OS chứ không phải là SQL, hai cái này hoàn toàn khác nhau.
bietchetlien007 wrote:
PS: Tôi chỉ là kiddie và thích tìm hiểu hack để bảo mật bản thân hơn tôi sẽ cố gắng không nghĩ bạn là kiddie vì các kiddie thường có suy nghĩ cứ vậy là hack rồi chứ không cần phải kiểm soát ~99.99-100%
Nếu suy đoán theo cái kiểu hành động và thái độ này của bồ, thì gọi là crack chứ không phải hack. Và SQL injection chỉ là một công cụ rất nhỏ tham gia vào việc tấn công. Nếu nói về việc thâm nhập vào 1 hệ thống thì cần phải có sự nghiên cứu cụ thể về các lỗi, cách và trình tự khai thác, chứ không phải cứ hỏi khơi khơi như bồ: làm thế nào...?, làm cách nào...?. Không ai có thể trả lời một cách tổng quát được.
p/s: nói thật, theo quan điểm của tớ thì chỉ có newbie mới nghĩ rằng thâm nhập vào 1 hệ thống là phải kiểm soát hoàn toàn hệ thống đó, vì họ cứ tưởng chuyện ấy dễ lắm, chỉ cần phát hiện ra 1 lỗi là làm được. Tất nhiên điều gì cũng có thể xảy ra, nhưng số người làm được việc đó có thể nói là khá hiếm, và hầu hết các vụ tấn công mạng đều không kiểm soát hoàn toàn hệ thống. |
|
Mind your thought. |
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 13:19:06 (+0700) | #19 | 126788 |
Đúng rồi, tôi viết bị thiếu dẫn đến nhầm, tôi đã sửa lại.
Một cái đúng nữa, tôi cũng muốn biết xem với một công cụ rất nhỏ liệu có thể kiểm soát hệ thống phần nào được không. Kiểm soát ở đây là có thể hành động nhiều hơn, nắm được nhiều hơn so với những kẻ hở nhỏ tùy trường mà có thể sẽ không gây hại bằng mức kia. |
|
|
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 14:01:45 (+0700) | #20 | 126793 |
Dì Tư
Member
|
0 |
|
|
Joined: 24/03/2008 11:21:31
Messages: 3
Offline
|
|
Cái thằng bitchetlien ăn nói lằng nhà lằng nhằng, đặt cái title đã thấy stupid rồi ( thử phân tích kỹ xem). Bây giờ con muốn thi thố về SQL injection cái cái gì tương tự thế thì post ra đây cho bà con chứng kiến. Rồi con với Dì post giải pháp ra cho bà con làm chứng. MK cái kiểu chả bit gì mà cứ post cái kiểu như biết hết rồi nghe bực cả mình. Thế nhá |
|
|
[Question] Re: MySQL injection có thể hành động trên IIS? |
22/04/2008 19:38:19 (+0700) | #21 | 126801 |
Mr.Khoai
Moderator
|
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
|
|
Tình hình là các bài thảo luận đi xa quá với nội dung chính rồi. khoai lock topic này lại, mọi người không cần cãi nhau vô ích.
khoai |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|