[deny]

Lis des tutos sur le sql !

merci du conseil , j'en ai lu et pas des plus mauvais

Parce qu'apparament il te manque quelques bases et/ou tu fais des choses erronées.

je n'ai fait que reprendre les indices glanés ici et la sur ce topic
ajouter des commentaires a la fin de la requete
ne pas placer le ' à la fin
le login est donné, l'injection se fait dans le champ du password,
bien qu'en exploitant une faille en reel on puisse fort bien placer l'injection dans le champ du login
pour bypasser le reste

[john93]

salut a tous.

j'ai lu plusieur site sur google parlant de cette injection.

j'ai trouver une solution utilisant un commentaire

pour les connaiseur.

je rentre sa dans login avec la bonne valeur de var mais il me sort une erreur d'authentification.
faut-il utiliser une autre methode merci d'avance.

[Zmx]

ça te dirais pas de lire le forum avant de poster ???
Ca a du etre ecrit 76 fois que l'injection ne se fait pas dans le login.

[-ExtenZ-]

j'ai du en essayer une dizaine...dont la fabuleuse que j'utilise toujours la : %*£¨d@!?-( !
Mais kedal... alors j'préfere passer à une autre épreuve...si quelqu'un veut bien m'envoyer la requete exacte par MP ce serait sympa...

merci d'avance et bon hasard aux autres !

[Mr_KaLiMaN]

j'ai du en essayer une dizaine...dont la fabuleuse que j'utilise toujours la : *************

On est content pour toi mais pas de bonnes ou mauvaises solutions sur le fofo.

Mais kedal... alors j'préfere passer à une autre épreuve...

Personne ne t'en empêche ni te retient.

si quelqu'un veut bien m'envoyer la requete exacte par MP ce serait sympa...

Pas de problème, mais on fait comment pour le mars et le reste ?

merci d'avance et bon hasard aux autres !

Merci et de rien.

[the lsd]

j'ai du en essayer une dizaine...dont la fabuleuse que j'utilise toujours la : %*£¨d@!?-( !
Mais kedal... alors j'préfere passer à une autre épreuve...si quelqu'un veut bien m'envoyer la requete exacte par MP ce serait sympa...

merci d'avance et bon hasard aux autres !

en fait ce qu'on dit c'est comme pisser dans un violon -ExtenZ-...
http://www.newbiecontest.org/forums/index.php?topic=502.msg32693#msg32693

Enjoy

The lsd

[Pheonix]

Haaa je bloque ^^

J'ai essayé des requêtes sur un script de connexion faillible, elle marche chez moi ... mais pas ici ^^
Bon je vais persévéré parce que pour le moment je ne voit pas pourquoi sa ne marche pas ...

Bonne journée

[Pheonix]

Dire qu'à un espace près je l'avais -__-'

En tout cas je suis content de l'avoir réussit !

[geogeo]

OUF je viens de la valider !
J'ai un conseil a vous donner, rien de révolutionnaire, mais a mon avis INDISPENSABLE pour ce type d'épreuve :
Pour éviter de recommencer 40 fois les mêmes choses, et oublier des "combinaisons", faites vous un txt, dans lequel vous mettez ligne par ligne, et dans l'ordre, les combinaisons à tenter.

C'est tout con, mais en faisant ça, et avec toute les infos déjà présentes dans le forum, ça va tout seul !
ET SURTOUT, comme ça été dit 100 fois, ne cherchez pas trop compliqué !

COURAGE !

[crecre1]

Je vais peut être paraitre stupide, mais l'injection SQL il faut la mettre ou dans la source?

[Arkane41]

Euh ...  pourquoi veux-tu la mettre dans la source ton injection ??? renseigne toi d'abord sur le sujet car a mon avis tu pars un peu dans la mauvaise direction 

[dedeisep]

C'est un peu vache le coup des espaces...

[crocrodile]

Bonjour, je viens de passer cette épreuve. Effectivement, même si je tenais la bonne solution dès le début (une solution qui aurait fonctionné en temps normal), j'ai dû tester plusieurs alternatives avant de trouver la bonne. A mon avis le script de vérification devrait être plus permissif, une simple expression régulière permet de traiter de nombreuses variations dues aux caractères blancs, aux diverses syntaxes de commentaires et à la possibilité d'utiliser ou non le ';' à la fin des requêtes SQL.

Bonne continuation tout le monde.

[ymvunjq]

Même remarque que pour mon précédent message. Il est plus difficile de deviner ce que pense le programmeur du script de verification que de faire l'injection en elle même. Tout ça à cause de quelques espaces 

Je ne sais pas si c'est possible, mais il serait très intéressant de faire un test de ce style avec derrière une vraie base de données et donc faire une véritable injection sql, plutôt que de faire un script qui simule cela (comme c'est le cas dans bcp de site de ce style). Par définition la simulation n'est pas entièrement représentative, et c'est dommage que ca soit le point le plus difficile des épreuves.

Je salue tout de même le travail.

[Mr_KaLiMaN]

Même remarque que pour mon précédent message. Il est plus difficile de deviner ce que pense le programmeur du script de verification que de faire l'injection en elle même. Tout ça à cause de quelques espaces 

Je ne sais pas si c'est possible, mais il serait très intéressant de faire un test de ce style avec derrière une vraie base de données et donc faire une véritable injection sql, plutôt que de faire un script qui simule cela (comme c'est le cas dans bcp de site de ce style). Par définition la simulation n'est pas entièrement représentative, et c'est dommage que ca soit le point le plus difficile des épreuves.

Je salue tout de même le travail.

Même remarque pour ce message et l'autre : -_-

(J'avais écrit un pavé en guise de réponse mais finalement je trouve que le smiley est bien plus à la hauteur)