maryam.20
پنج شنبه 24 مرداد 1392, 18:42 عصر
سلام.
توی تیبلی که از سمت کاربر ورودی میگیره همچین کاراکتر هایی دیدم:
\'+response.write(9859142*9256938)+\'
../../../../../../../../../../etc/passwd
SomeCustomInjectedHeader:injected_by_wvs
cat /etc/passwd
http://some-inexistent-website.acu/s...g_name?%00.jpg (http://some-inexistent-website.acu/some_inexistent_file_with_long_name?%00.jpg)
${99692+99409}
print(md5(acunetix_wvs_security_test));
${@print(md5(acunetix_wvs_security_test))}
و...................
با اینکه از تابع mysql_real_escape_string هم استفاده کردم، فکر میکردم دیگه لازم نیست از validator استفاده کنم ... البته هنوز validator خوب و جمع و جور پیدا نکردم که فقط کاراکترهای نامعتبر رو شناسایی کنه و پیغام بده (اگه سراغ دارید لینک بدید ممنون میشم :چشمک: )
میخوام بدونم اینا کلن چی هستن و من باید چکار کنم که اینطوری نشه دیگه :لبخندساده:
توی تیبلی که از سمت کاربر ورودی میگیره همچین کاراکتر هایی دیدم:
\'+response.write(9859142*9256938)+\'
../../../../../../../../../../etc/passwd
SomeCustomInjectedHeader:injected_by_wvs
cat /etc/passwd
http://some-inexistent-website.acu/s...g_name?%00.jpg (http://some-inexistent-website.acu/some_inexistent_file_with_long_name?%00.jpg)
${99692+99409}
print(md5(acunetix_wvs_security_test));
${@print(md5(acunetix_wvs_security_test))}
و...................
با اینکه از تابع mysql_real_escape_string هم استفاده کردم، فکر میکردم دیگه لازم نیست از validator استفاده کنم ... البته هنوز validator خوب و جمع و جور پیدا نکردم که فقط کاراکترهای نامعتبر رو شناسایی کنه و پیغام بده (اگه سراغ دارید لینک بدید ممنون میشم :چشمک: )
میخوام بدونم اینا کلن چی هستن و من باید چکار کنم که اینطوری نشه دیگه :لبخندساده: