Bonsoir les gens :D
Je ne savais pas ou poster, alors j'ai mis au bar (deplacez le topic si ca ne va pas ^^). Bref, voici mon souci, j'ai trouve une bonne grosse faille d'injection SQL. Le truc c'est que j'ignore totalement la quantitee et les noms des tables qui se trouvent dans la bd. Donc j'ai ecri un script en python pour bruteforcer le nom des tables.
Apres avoir googoler un bon moment, je suis arrive a la conclusion que de trouver un bon dico pour ce genrs de chose relevait du defi :? en effet, dog, cat ou monique ne seront certainement pas des noms de table. Il faudrait plustot un dictionnaire qui contienne des mots (de preference en francais et en anglais car le site vise est fr) comme products, l'eternel jos_users ou articles,... Pourquoi ne pas dl un dictionnaire complet qui contient deja ces mots? Question d'efficacite pas la peine d'essayer des centaines de mots debiles qui ne feraient pas des noms de tables...
Tout ceci pour vous demander: Conaissez vous un bon dico pour ca? Sinon bah je commencerait a en ecrire un lol, comme ca ce sera fait, et je l'uploaderai quelquepart. Sur que ce sera utile a d'autre. Voilouvoilou :oops:
Dico pour SQL
3 posts
• Page 1 of 1
Dico pour SQL
by TorTukiTu » Tue Oct 14, 2008 9:25 pm
-
TorTukiTu - Site Admin
- Posts: 1960
- Joined: Thu Feb 07, 2008 10:24 pm
- Location: Devant son pc durant la redaction de ce message
by NETTOYEUR25 » Tue Oct 14, 2008 10:03 pm
bien tout ça, tu as trouvé une faille, encore mieux, il ne te reste plus qu'à informer le site sur lequel tu as trouvé la faille et en informer le webmaster.
Je te rappelle que nous ne sommes pas des exploiteurs de failles, ou de destructeurs de sites, nous informons, mais nous n'exploitons pas les failles, c'est contraire à notre déontologie.
Donc tu informe le site de ses failles, c'est parfait! mais inutile de rechercher à aller plus en avant, ici même, nous ne t'aiderons pas si tu n'est pas le propriétaire du site!
A ++ sur le site ou sur le tchat !
Je te rappelle que nous ne sommes pas des exploiteurs de failles, ou de destructeurs de sites, nous informons, mais nous n'exploitons pas les failles, c'est contraire à notre déontologie.
Donc tu informe le site de ses failles, c'est parfait! mais inutile de rechercher à aller plus en avant, ici même, nous ne t'aiderons pas si tu n'est pas le propriétaire du site!
A ++ sur le site ou sur le tchat !
-
NETTOYEUR25 - Projets
- Posts: 1235
- Joined: Wed Oct 31, 2007 2:20 am
- Location: B
by TorTukiTu » Tue Oct 14, 2008 10:16 pm
Merci, j'en avais l'intention, je ne suis pas un vandale que diable lol j'ai passe l'age =/. Cependant j'aurais aime aller jusqu'au bout et reussir a executer une commade SQL pas mechante, juste pour le fun. Bref, je vais le signaler a l'admin et lui demander de la laisser quelques jours, histoire que je fasse joujou avec sans passer par tor :? ... Apres tout comme j'ai ete sympa envers lui, il acceptera peut etre :oops:
En tout cas merci de tes conseils =)
En tout cas merci de tes conseils =)
-
TorTukiTu - Site Admin
- Posts: 1960
- Joined: Thu Feb 07, 2008 10:24 pm
- Location: Devant son pc durant la redaction de ce message
3 posts
• Page 1 of 1
Who is online
Users browsing this forum: No registered users and 2 guests