ראשי > אבטחת מידע > צריך עזרה ב BLIND SQL INJECTION
אתה נראה כמו אחד הבודדים שאשכרה מבין מה הוא עושה ...
דבר שני קצת קשה לי להבין את הסיטואציה
*מה קורה בדף במצב שהתנאי מחזיר אמת?
*מה קורה קורה כשהוא מחזיר שקר (UNAVILABLE?)
*מה עוזר לך שבדקת אם האסקי גדול מ 100...?( אתה רוצה לבצע חיפוש אריה במדבר? אם לא, תבדוק פשוט אם הערך שווה לערך ASCII מסויים לדוגמא ’a’ = 97)
כך או כך, תקרא את הקטע שכתבתי לגבי Yes\No Sql injections
אולי זה יעזור לך:
http://www.securityfocus.com/archive/1/396222[ההודעה נערכה על-ידי HLL ב-14/09/2007 18:32:28]
אבל אם התנאי לא נכון אני פשוט מקבל עמוד מעוצב כזה שרשום בו "המאמר לא קיים".
*בקשר לאסקי אני עושה בדיוק מה שאמרת בסוגרים אני כל פעם בודק את התנאי של התו שאני מקבל, זה שרשום שם (גדול מ 100) זה רק חלק מהתהליך של הבדיקה, ככה אני מוצא את הערך אסקי של האות הראשונה ואז עובר לשניה וככה מגבש מילה שלמה של הטבלה/עמודה
הבעיה היא שלפי ההגיון זה אמור להיות אותו דבר אם אני רוצה להוציא את הערכים מתוך עמודה(טבלה) שמצאתי הרי שלפתי מתוך הטבלה של המערכת SYSOBJECT בקלות את הערכים של הטבלאות האחרות בDATABASE, אבל המוזר הוא שכשאני רוצה להוציא ערכים מהטבלאות שמצאתי האתר פשוט תמיד נותן לי הודעה "המאמר לא נמצא" כמו שהסברתי בהודעה הקודמת..הבעיה היא לא בתנאי וניסתי הרבה פקודות שאמורות לתת את אותה תוצאה אבל אף אחת מהן לא מגיבה כמו שרציתי (עם כולן אני מגיע לעמוד שגיאה).
זה מובן שיש שגיאה אחרת שהסרבר נותן הבעיה היא שאין לי דרך לדעת בוודאות מה השגיאה כי אני לא מקבל אף מידע מהסרבר זה הכל על "עוור" מה שבטוח וניסתי כבר על האתר, הוא שהטבלאות והעמודות שמצאתי אכן קיימות ב DATABASE והשמות שלהן מדוייקות...
תודה על המאמר אחד המעמקים שקראתי בנושא, אבל עדיין לא פתר לי את הבעיה... יהיה נוח יותר אם נוכל לדבר באיסיקיו אז אני ישאיר לך את המספר שלי בפרטי..[ההודעה נערכה על-ידי tweester2 ב-15/09/2007 00:44:09]
בשביל מה יש פורום?
בכל אופן אני יענה על השאלה שלא שאלת...
- אמרת חלק מתהליך הבדיקה, מה בידיוק התהליך שאתה עושה (כשאמרתי אריה במדבר, התכוונתי שאתה מתחיל מנקודה מסויימת באמצע ואז הולך או קדימה או אחורה - תו יותר גדול או תו יותר קטן - עד שאתה מזהה שהתו == לתו שציינת)
בשביל מה יש פורום?
בכל אופן אני יענה על השאלה שלא שאלת...
- אמרת חלק מתהליך הבדיקה, מה בידיוק התהליך שאתה עושה (כשאמרתי אריה במדבר, התכוונתי שאתה מתחיל מנקודה מסויימת באמצע ואז הולך או קדימה או אחורה - תו יותר גדול או תו יותר קטן - עד שאתה מזהה שהתו == לתו שציינת)
אריה במדבר לא אומר לחלק את כמות המספרים (או התווים..או מה שלא יהיה) ל2 חלקים שוים, ואז בדיקה אם המספר שווה למספר שיצא, אם לא לחלק שוב ל2 ולבדוק אם המספר קטן יותר או גדול מהמ שיצא, ואז ללכת לחלק המתאים (הגדול או הקטן) עד שנמצא המספר(בצורה רקורסיבית.
משהו כזה; נניח ונרצה למצוא את המספר 2, ויש לנו מספרים עד 20.
אז נחלק ל2 חלקים,בגלל ש2 קטן מ10 אז נלך למשה שיצא-מספרים מ1 עד 10.
ואז נחלק ל2 ובגלל שזה קטן מ5 אז נחלק שוב ב2 ,ואז יצא לנו מספרים מ3עד 1 ואז נחלק (נעשה חילוק ללא שארית..כל הדרך ללא שארית) ויצא לנו 2...
חוצמזה שלא ברור מה שכתבת
עריכה: - אבל אחרי שקראתי 3 פעמים הבנתי ...
[ההודעה נערכה על-ידי HLL ב-19/09/2007 22:43:31]
[ההודעה נערכה על-ידי HLL ב-19/09/2007 23:01:13][ההודעה נערכה על-ידי HLL ב-19/09/2007 23:26:54]