Возможно применение sql-инъекции

Вопросы о том как и что сделать чтобы работало
Правила форума
1. Один вопрос - одна тема. Не надо задавать в той же теме другие вопросы.
2. Не пишите в чужих темах, если ваша проблема не имеет отношения к обсуждаемой.
3. Давайте полное описание проблемы - имя сайта, имя сервера, учётная запись, способ воспроизведения, скриншот ошибки.
4. Пароли выкладывать в форум - НЕ НАДО
Vasiliy
Сообщения: 5
Зарегистрирован: 2019-12-11, 2:36:54

Возможно применение sql-инъекции

Сообщение Vasiliy » 2019-12-11, 2:51:07

Если в Менеджере файлов (где можно редактировать свои скрипты) ввести
что угодно | sed 's/\(pattern\)/\1/g'
сервер проглатывает этот (выделенный красным) символ, а значит если поиграться с \", \\" и тд, то возможно применение sql-инъекции.

UPD:
Поигрался, получил ошибку базы данных. Значит уязвимость вполне применима. Кто хочет используйте, админам на всё насрать с большущей колокольни.
Последний раз редактировалось Vasiliy 2020-02-11, 16:14:29, всего редактировалось 3 раза.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги нашей хостинговой компании

Хостинг HostFood.ru

Тарифы на хостинг, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM), от 189 рублей: https://www.host-food.ru/tariffs/virtualny-server-vps/
Тарифы на выделенные сервера (Dedicated Server), от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU): https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах, от 110 рублей: https://www.host-food.ru/domains/
Часто задаваемые вопросы по хостингу: https://www.host-food.ru/faq/
Вопросы по доменам: https://www.host-food.ru/faq/domains.questions/

lissyara
Site Admin
Сообщения: 6273
Зарегистрирован: 2009-09-19, 22:04:41

Возможно применение sql-инъекции

Сообщение lissyara » 2019-12-11, 7:59:10

это вам к разработчикам панели надо - они за найденные уязвимости выплачивают вознаграждение
Убей их всех! Бог потом рассортирует...

Vasiliy
Сообщения: 5
Зарегистрирован: 2019-12-11, 2:36:54

Возможно применение sql-инъекции

Сообщение Vasiliy » 2019-12-12, 16:56:12

У вас тут всё работает так, что чихнуть боишься, мне лень постоянно по 15 минут на авторизацию тратить.

lissyara
Site Admin
Сообщения: 6273
Зарегистрирован: 2009-09-19, 22:04:41

Возможно применение sql-инъекции

Сообщение lissyara » 2019-12-12, 18:03:10

тогда один раз поставьте галочку "запомнить меня" и всё
Убей их всех! Бог потом рассортирует...

Vasiliy
Сообщения: 5
Зарегистрирован: 2019-12-11, 2:36:54

Возможно применение sql-инъекции

Сообщение Vasiliy » 2019-12-13, 6:16:37

1. Нет такой галочки.
2. Авторизация работает далеко не всегда.

Вообще я очень недоволен хостингом, оплаченное использую, а потом бежать отсюда нафиг.
PS: К форуму кстати претензий нет, работает хорошо.

lissyara
Site Admin
Сообщения: 6273
Зарегистрирован: 2009-09-19, 22:04:41

Возможно применение sql-инъекции

Сообщение lissyara » 2019-12-13, 8:04:53

чем именно недовольны - объяснить так и не смогли
и ни одного скриншота тоже нет

сдаётся мне, что вы просто троллите =)
Убей их всех! Бог потом рассортирует...

Vasiliy
Сообщения: 5
Зарегистрирован: 2019-12-11, 2:36:54

Возможно применение sql-инъекции

Сообщение Vasiliy » 2019-12-13, 15:50:21

Замечательно, я вам об уязвимости сообщил, а вы троллем называете. Вот это отношение к клиенту.
Чем именно недоволен? Нестабильностью. Хотите скриншот - пожалуйста:
Изображение
Хотел в биллинговой системе тоже баг показать, но не могу войти, хотя вчера входил и сохранил пароль. Как его восстановить тоже непонятно. В форме общения с техподдержкой bb-коды есть, но не работают. Багов много, не хочу их все сейчас перечислять. А главное сервер, на котором сайт размещён часто недоступен с кодом состояния http 5xx. Техпожжердка отвечает "не нравится уходи". В общем-то так и сделаю.
Последний раз редактировалось Vasiliy 2020-02-11, 16:18:01, всего редактировалось 1 раз.

lissyara
Site Admin
Сообщения: 6273
Зарегистрирован: 2009-09-19, 22:04:41

Возможно применение sql-инъекции

Сообщение lissyara » 2019-12-13, 16:04:32

шрифты хоть бы поставили, раз линукс решили использовать.
с нормальными шрифтами FF выглядит нормально
webfonts.png
webfonts.png (458.33 КБ) 3730 просмотров
Убей их всех! Бог потом рассортирует...

Vasiliy
Сообщения: 5
Зарегистрирован: 2019-12-11, 2:36:54

Возможно применение sql-инъекции

Сообщение Vasiliy » 2019-12-13, 17:42:28

Я не вижу мелкий текст.