NewbieContest

Divers => Hacking => Discussion démarrée par: Dominique0796 le 03 Août 2012 à 08:23:31



Titre: "Couper" des mots clés MySQL pour contourner les filtres
Posté par: Dominique0796 le 03 Août 2012 à 08:23:31
Bonjour, j'ai lu sur plusieurs pages, dont celle-ci en particulier (http://venom630.free.fr/geo/tutz/securite_informatique/tour_d_horizon_sur_les_sql_injections_nikloskoda.html#1.4.c) mais plein d'autre aussi, que quand certains mots clés étaient filtrés (UNION ou SELECT) par exemple, on pouvait contourner ces filtres en "coupant" les mots, soit en ajoutant des espaces au milieux, soit en les coupant par /**/ par exemple. Vous pouvez voir cela à la fin de la partie sur "la fonction CONV" sur le lien donné plus haut.

Malheureusement, j'ai fait des tests en local et ça ne marche pas, mais vraiment pas du tout !
L'article serait-il trop ancien ? MySQL aurait-il interdit ce genre de syntaxe depuis ?
L'article paraît pourtant s'appliquer à MySQL 5.1 ou plus, car ce numéro de version apparaît lusieurs fois dans la page (par exemple AND VERSION() > '5.1' etc.

Voilà ... je n'ai pas trouvé grand chose à ce propos sur la toile ... et ça m'étonnerai que cette page est raconter des sornette, surtout qu'elle n'est pas la seule à donner ce petit truc. L'hypothèse la plus probable est donc que MySQL est bloqué cette possibilité depuis ...


Titre: Re : "Couper" des mots clés MySQL pour contourner les filtres
Posté par: the lsd le 06 Août 2012 à 01:35:17
Ben, euhhh, essayes avec d'autres versions ?
Comment as tu fais tes tests ? Tu as fait une véritable injection ? Tu es passé en CLI, par phpmyadmin ?

Enjoy

The lsd