sql injection

В HackerLab запускается сертификация. На текущий момент сертификат доступен участникам, успешно завершившим курс SQL Injection Master и сдавшим итоговый экзамен. Экзамен представляет собой практическую эксплуатацию уязвимостей в изолированной инфраструктуре. Вы не отвечаете на вопросы - вы...

Всё, что нужно знать о SQL-инъекциях: гайд для тех, кто не боится взять на себя роль хакера Что такое SQL-инъекции и почему они - это просто кайф для тех, кто любит играться с базами данных Если ты когда-нибудь слышал про SQL-инъекции, то, скорее всего, представлял себе, как хакеры, как в крутом...

Введение SQL Injection — одна из самых опасных и распространённых уязвимостей в веб-приложениях. Несмотря на то, что о ней говорят уже больше 20 лет, до сих пор тысячи сайтов остаются уязвимыми. В этой статье мы разберём: Как работает SQL-инъекция на примере уязвимого веб-приложения...

Всем привет. Нашел вроде Sql Inection BOOLEN BASED, но пишут что у них везде проверки и в их базу нечего внедрено не было. Запросы: add' -- - Работает add' AND 2*3*8=6*8 AND '000mW7b'!='000mW7b% - Информация есть add' AND 1*3*8=6*8 AND '000mW7b'!='000mW7b% - Нет...

Стремление как можно быстрее завершить рабочий процесс, будь то деплой ответственного проекта в пятницу или окончание разработки критически важного модуля к концу рабочего дня, часто требует максимальной концентрации и времени. В этой спешке разработчик может случайно упустить из виду критически...

Эксперты обнаружили серьезную уязвимость в ряде версий PHP 8, которая может привести к компрометации баз данных через SQL-инъекцию. Проблема затрагивает PHP 8.0.x до версии 8.0.27, 8.1.x до 8.1.15 и 8.2.x до 8.2.2 и связана с некорректной работой функции PDO::quote() при использовании баз данных...

Открыта запись на январские образовательные курсы Академии Кодебай. Максимум практики, чат с живым общением и квалифицированная кураторская поддержка на каждом из наших курсов! 🐍 Курс «Основы программирования на Python» — курс охватывает все основные концепции Python, начиная от базовых...

Привет форумчане! Давно не брался за перо, все никак не мог найти ни времени, ни мозгов, ни идей. Эта статья будет некоторым продолжением статей Автоматизация эксплуатации слепой инъекции при помощи Burp Suite и Автоматизация эксплуатации слепой инъекции при помощи WFUZZ. Как показала...

Всем привет, подскажите пожалуйста. На машине на которой находится hack the box выполнил команду sqlmap -u myurl --data="login=%D0%B9&password=%D1%86" --method POST --dbs --level 5 --risk 3 -D test_task -T users --dump и выводится 2 записи 1 это csec флаг, а вторая admin и его md5 hash...

Здравия желаю! В статье я пройдусь по лабе со "Слепая SQL-инъекция с условными ошибками". Надеюсь, у всех читающих эту статью стандартная тема Codeby. Это мощная статья План статьи: Докажем, что параметр уязвим Проверим существование базы данных Подтвердим наличие 'administrator' в базе...

Решил рассказать про CTF los.rubiya.kr, которую я проходил. Это не совсем CTF в привычном понимании: нет флагов. Надо пройти таски один за одним с помощью SQL Injection. Мне очень помог курс SQLi Master, без него я не смог продвинуться дальше пятого таска. Поэтому всем советую, кто интересуется...

Привет дорогие форумчане помогите найти инфу об уязвимостях в 1С. В основном сейчас интересует кто-нибудь скули пробовал ли тыкать в авторизацию. И есть ли bypass авторизации и тд За любую интересную инфу по этому вопросу отдельное спасибо)

Суть в чём техника time based , а мне нужно вытащить данные из таблицы user , где userid=1.Получить userid,email Суть в чём , если я сливаю просто userid , то все окей 1,2,3 и т.д айдишники сливаются , а если userid,email ТО влияние идет на email , т.к ORDER BY email (SELECT 8186 FROM...

POST parameter 'anchor' appears to be 'AND boolean-based blind - WHERE or HAVING clause' injectable И потом ничего не происходит . Кто значет в чем проблема был бы рад помощи

Привет уважаемые форумчане. Настала пора поделиться с вами отзывом по прекрасному курсу «SQL-injection Master». Для тех, кто не любит читать скажу сразу, курс мне очень понравился и я ни разу не пожалел, что приобрёл его! Но курс был непростым и отнял очень много часов личного времени на...

Введение Boolean based Blind SQL Injection - это техника инъекции, которая заставляет приложение возвращать различное содержимое в зависимости от логического результата (TRUE или FALSE) при запросе к реляционной базе данных. Результат позволяет судить о том, истинна или ложна используемая...

Получилось узнать БД, таблицы и колонки к этим таблицам (через common-columns.txt) При дампе одной из известных мне колонок через бутфорс запросом: sqlmap -u ссылка.dhtml --forms --crawl=2 -D БД -T таблица -C колонка --dump --threads=5 --hex --time-sec=15 - Приводит к такому: [WARNING]...

CSRF на JSON API: от разведки до эксплуатации. Практический кейс Лирическое отступление Вавилен был доволен своим рабочем местом в конторе. Он приносил деньги себе и своему начальству, которое давало для этого всю инфраструктуру. Но в один прекрасный день боссы, в очередной раз срубив куш на...

Всем привет! После того, как я написал статью Автоматизация эксплуатации слепой инъекции при помощи Burp Suite я получил целых 4 положительных отзыва, поблагодарил этих людей за высокую оценку моего труда. Я провозился со статьей около 3-х дней и мне было очень приятно, что данное творение хоть...

Приветствую! Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину EarlyAccess (Linux - Web). Сегодня мы применим уязвимости такие как SQLi, XSS и RCE, а так же рассмотрим повышение привилегий через Docker! Начинаем) Данные: Задача: Скомпрометировать...