";DROP DATABASE TABLICE

Флейм в чистом виде - все что угодно...
Но - в рамках закона :)
Ответить
Собутыльник Сэра Мурра
Аватара пользователя
Сообщения: 2918
Зарегистрирован: Вт янв 10, 2006 00:26:45
Откуда: Челябинск

Сообщение WildCat »

Изображение
Реклама
Поставщик валерьянки для Кота
Аватара пользователя
Сообщения: 2029
Зарегистрирован: Сб ноя 15, 2008 10:09:56
Откуда: г. Тула

Сообщение IfoR »

У вас подозрение на уязвимость: Мускул инъекция.
Изображение
/dev/urandom - гигабайты информации.

OS: openSUSE 13.2 (x86_64)
Контактная информация:
Реклама
Собутыльник Сэра Мурра
Аватара пользователя
Сообщения: 2918
Зарегистрирован: Вт янв 10, 2006 00:26:45
Откуда: Челябинск

Сообщение WildCat »

Чорт, никакой уязвимости нет, и мой пост кстати это прекрасно доказывает.
Смотрим на фотку, думаем, что это такое.
Поставщик валерьянки для Кота
Аватара пользователя
Сообщения: 2029
Зарегистрирован: Сб ноя 15, 2008 10:09:56
Откуда: г. Тула

Сообщение IfoR »

Не понял шутки? :)
Это похоже на кусок дампа SQL или списка команд.
Так можно произвести SQL-инъекцию, задав в нефильтруемое поля ввода, которое является частью для строки запроса SQL, нужную последовательность символов, то можно выдрать нужную информацию из базы.
Последний раз редактировалось IfoR Пт авг 05, 2011 00:41:44, всего редактировалось 1 раз.
Изображение
/dev/urandom - гигабайты информации.

OS: openSUSE 13.2 (x86_64)
Контактная информация:
Реклама
Эиком - электронные компоненты и радиодетали
Собутыльник Сэра Мурра
Аватара пользователя
Сообщения: 2918
Зарегистрирован: Вт янв 10, 2006 00:26:45
Откуда: Челябинск

Сообщение WildCat »

Спасибо, кэп, это мы и так прекрасно видим :)
Эта фотка тут не просто так, то, что на ней изображено, имеет смысл.
Реклама
Мудрый кот
Аватара пользователя
Сообщения: 1733
Зарегистрирован: Чт авг 21, 2008 22:03:30
Откуда: Одесса(Украина)

Сообщение РадиоЛоматель »

Это для камер наблюдения ГАИ :)) Прочитала номер и убей свою таблицу 8)
(*tmp) &= ~( ( (param1 & (1<<PARAM1_BIT6)) || ((param2==PARAM2_TRUE)&&(--param3)) ) ? (param1 & (~param2)) : (Func1() | FUNC1_FLAGS) );
Люблю Си...
Контактная информация:
Реклама
Поставщик валерьянки для Кота
Аватара пользователя
Сообщения: 2029
Зарегистрирован: Сб ноя 15, 2008 10:09:56
Откуда: г. Тула

Сообщение IfoR »

Ну я же говорю. Это SQL-инъекция. Оператор "--" в конце - это наверняка комменнтарий, он комментирует остаток другого запроса самого сервера. А первый обрывок завершает предыдущию команду. Сам запрос подменивается своим. Суть инъекции - удалить какую-то базу данных. При передачи такой строки серверу, если строка не фильтруется, произойдёт удаление базы.

А если они хотят подсунуть это фиксирующей видеокамере, то вряд ли что-то получится. Она наверняка собирает данные по какой нить маске. Just for fun.
Изображение
/dev/urandom - гигабайты информации.

OS: openSUSE 13.2 (x86_64)
Контактная информация:
Собутыльник Сэра Мурра
Аватара пользователя
Сообщения: 2918
Зарегистрирован: Вт янв 10, 2006 00:26:45
Откуда: Челябинск

Сообщение WildCat »

А вот и получилось. Дело в том, что в России регистрационные знаки - фиксированные. В США и многих других странах они могут иметь любой формат, т.е. длина и набор символов не ограничены. И каждый может заказать себе произвольный номерной знак.
Один программист, узнав название базы, сделал себе такой "знак" и умышленно превысив скорость перед камерами автоматической фиксации, таким изящным способом уничтожил базу нарушителей.
Глупое ПО камеры зафиксировало текст, не задумываясь распознало и отправило запрос в базу данных. Естественно, такого подвоха никто не ожидал, и никакой фильтрации запросов не было предусмотрено. А база данных, будучи уверенной в авторитете камеры, выполнила ее запрос.
Поставщик валерьянки для Кота
Аватара пользователя
Сообщения: 2029
Зарегистрирован: Сб ноя 15, 2008 10:09:56
Откуда: г. Тула

Сообщение IfoR »

Ха-хах. :))) :))) :)))
Это ппц. Я бы и подумать о таком бы и не мог. :)

Взламываем сервера без интернета. :)
Изображение
/dev/urandom - гигабайты информации.

OS: openSUSE 13.2 (x86_64)
Контактная информация:
IT KT
Аватара пользователя
Сообщения: 1309
Зарегистрирован: Пн авг 25, 2008 08:49:33

Сообщение demson »

А под ссср номера (без региона которые) камеры нашит заточены?
в спорах рождается ИСТИНА [AND] flud.
Контактная информация:
Друг Кота
Аватара пользователя
Сообщения: 7576
Зарегистрирован: Пн мар 22, 2010 11:01:14
Откуда: СССР, г. Москва.

Сообщение Соник »

WildCat писал(а):А вот и получилось. Дело в том, что в России регистрационные знаки - фиксированные. В США и многих других странах они могут иметь любой формат, т.е. длина и набор символов не ограничены. И каждый может заказать себе произвольный номерной знак.
Один программист, узнав название базы, сделал себе такой "знак" и умышленно превысив скорость перед камерами автоматической фиксации, таким изящным способом уничтожил базу нарушителей.
Глупое ПО камеры зафиксировало текст, не задумываясь распознало и отправило запрос в базу данных. Естественно, такого подвоха никто не ожидал, и никакой фильтрации запросов не было предусмотрено. А база данных, будучи уверенной в авторитете камеры, выполнила ее запрос.
И что, вся база данных удалилась?
Я рожден при социализме, и я этим горжусь!
Поставщик валерьянки для Кота
Аватара пользователя
Сообщения: 2029
Зарегистрирован: Сб ноя 15, 2008 10:09:56
Откуда: г. Тула

Сообщение IfoR »

Если только они не позаботились о резервной копией. :roll:
Изображение
/dev/urandom - гигабайты информации.

OS: openSUSE 13.2 (x86_64)
Контактная информация:
Друг Кота
Аватара пользователя
Сообщения: 26671
Зарегистрирован: Пт май 18, 2007 22:56:58

Сообщение Upgrader »

БУГАГА!!! :))) :))) :)))
Под столом реально! :)))
Не променяю медь на ржавую несгорайку!
Модератор
Аватара пользователя
Сообщения: 4673
Зарегистрирован: Вс июн 01, 2008 00:17:35
Откуда: Я всего лишь плод вашего воображения...

Сообщение Пухич »

Черт, так ведь умереть можно от хохота! :)))

И чего, реально никаких фильтров нет? Что за лажа?
Знание - сила!
Поставщик валерьянки для Кота
Аватара пользователя
Сообщения: 2029
Зарегистрирован: Сб ноя 15, 2008 10:09:56
Откуда: г. Тула

Сообщение IfoR »

А почему бы просто не фоткать сам номер и хранить его в виде изображения? Там же ведь они всё равно могут быть произвольными.
Изображение
/dev/urandom - гигабайты информации.

OS: openSUSE 13.2 (x86_64)
Контактная информация:
Друг Кота
Аватара пользователя
Сообщения: 26671
Зарегистрирован: Пт май 18, 2007 22:56:58

Сообщение Upgrader »

IfoR писал(а):А почему бы просто не фоткать сам номер и хранить его в виде изображения? Там же ведь они всё равно могут быть произвольными.
Невозможность поиска, большой объем, необходимость все-же вырезания номера из большой фотографии. В общем, нет никакого смысла. А фотография, она так и так сохраняется дополнительно.
Не променяю медь на ржавую несгорайку!
Друг Кота
Аватара пользователя
Сообщения: 4468
Зарегистрирован: Вс янв 24, 2010 19:19:52
Откуда: Главный Улей России (Moscow)

Сообщение DX168B »

Жесть. Вот лошары эти ГАИшники. :))) :))) :))) :)))
I am DX168B and this is my favourite forum on internet!
Контактная информация:
Друг Кота
Сообщения: 6900
Зарегистрирован: Ср май 05, 2010 13:31:29

Сообщение А.Андрей »

да ну это чушь
эдак написав вместо номера машины FUCK YEA. можно превратить устройство в сраное гавно. Фейк.
Спасибо за внимание.
Друг Кота
Аватара пользователя
Сообщения: 4468
Зарегистрирован: Вс янв 24, 2010 19:19:52
Откуда: Главный Улей России (Moscow)

Сообщение DX168B »

Самое интересное, это то, что DROP DATABASE TABLICE; - это уже ошибка. :)))
Ну, если только сама БД так называется, то может и сработало бы.
Проще было бы записать DROP DATABASE mysql; Тогда бы сервер БД упал. :)))
В базе mysql находятся данные о пользователях БД и их привилегии. Ну, там ещё куча всего (хосты и т.д.)
Это касается MySQL. Если бы это был MsSQL, то там уже по другому. :)

Весь запрос выглядел бы примерно так:
INSERT INTO fuckers VALUES(name='Vasea',sur='Pupkin',num='ZU0066',0,0);DROP DATABASE TABLICE;-- 0,0);
В итоге, получилось два запроса подряд.
Один вставляет запись о нарушителе в таблицу fuckers. То есть как положено.
А второй сносит всю БД.
Кто шарит в БД, тот поймёт. :)))
I am DX168B and this is my favourite forum on internet!
Контактная информация:
Друг Кота
Аватара пользователя
Сообщения: 26671
Зарегистрирован: Пт май 18, 2007 22:56:58

Сообщение Upgrader »

DX168B писал(а):Самое интересное, это то, что DROP DATABASE TABLICE; - это уже ошибка. :)))
Никакая не ошибка. :)
Тупые гаишники только так и назовут.
А уж информацию о базе... наверное кто-то помог достать информацию.
Не променяю медь на ржавую несгорайку!
Ответить

Вернуться в «МЯЯЯУ!»