Tahribat.com Forumları
Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
SQL İnjection Hakkında Yardım
Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
SQL İnjection Hakkında Yardım
SQL İnjection Hakkında Yardım
-
Arkadaşlar merhaba. SQL konusunda hiç bilgim yok öncelikle onu söyleyeyim. Sitenin birinden şöyle bir dönüt aldım;
<code>
Line 34: string connStr = ConfigurationSettings.AppSettings["ConnectionString"] + Server.MapPath("haber.mdb"); Line 35: OleDbConnection conn = new OleDbConnection(connStr); Line 36: conn.Open(); Line 37: OleDbCommand cmd = conn.CreateCommand(); Line 38: cmd.CommandText = "Select web From users2 Where login = @username AND pass = @userpass and web = -1";
</code>
web isimli bir şey olduğunu, bunun users2 diye bişeyinden/bişeyine bişey yaptığını sanıyorum ama bişey anlamadım =). Bir açıklarsanız sevinirim. Ha bir de haber.mdb var, o database dosyası onu biliyorum =). -
Server.MapPath("haber.mdb") normalde www.asd.com/haber.mdb ile ulaşabilir olman gerek. user2 tablo adı ama sql sorgusunda parametre kullanmış o yüzden sql injection yapamazsın.
-
TeRRoR bunu yazdı:
-----------------------------Server.MapPath("haber.mdb") normalde www.asd.com/haber.mdb ile ulaşabilir olman gerek. user2 tablo adı ama sql sorgusunda parametre kullanmış o yüzden sql injection yapamazsın.
-----------------------------site.site.com şeklinde. yani bir sub domainde buldum bu hatayı. dosya yolunu da yazıyor ancak haber.mdb yi indiremedim.
Toplam Hit: 1050 Toplam Mesaj: 3