[Psykose]

Bonjour a tous

Je ne suis qu'un pauvre internaute moyen, ayant un tout petit peu ( mais vraiment un petit peu x) ) plus de connaissances générales en informatique que les autres internautes moyen. C'est assez normal, j'ai cotoyé plusieurs geeks,qui m'ont transmit une partie de leur savoire, et puis, je me sens moi même geek dans l'âme, sans en avoire vraiment les compétences... Mais j'y travaille...

Hier, je suis tombé sur un skyblog, visiblement hacké par un certain PluTur. Ca m'a fait sourrire au début, puis je me suis demandé comment il s'y était pris, comment il avait fait. Je me suis dit que c'était sûrement une faille connue parmis la communautée des Hackers, ou bien quelquechose de pas si difficile a réaliser du moins. Mais ça m'a tout de même intrigué. Je suis allez chercher avec l'aide de mon ami google plus de détaille sur ces hackers. C'est ainsi que je suis tombé sur plusieurs sites proposant des challenges de hack et autre. Et c'est aussi ainsi que je suis tombé sur NC.
J'ai commençé a lire le forum toussa, j'ai lu l'exemple de hack de s3th dans la partie tutos je crois, j'ai aussi lu le "Comment devennire un hacker" écrit par jessépluki. Et puis je me suis dit, en plus d'être geek dans l'âme, j'me sens hacker dans l'âme, pourquoi pas approfondire ça, j'vais me renseigner sur les languages de programation, les failles, et je vais commencer a faire les challenges du site. Et donc voila, c'est ainsi que j'ai entendu parler  de l'injection SQL, j'ai cherché sur google et je suis tombé sur quelques sites, décrivant l'injection SQL et les manières de l'utiliser. Malheureusement, malgrès mes quelques bases en C ( j'ai pas encore dépassé le stade de programmer une calculette "complète" en console, donc bon, j'vais pas m'attendre a des miracles... >.>) j'ai pas compris grand chose, si ce n'est le principe dans les grandes lignes.

Bon voila, la question se trouve ici pour ceux qui auraient eu la flemme de lire l'intro x) :

Pouvez vous m'expliquer un peu plus précisément comment marche l'injection SQL, comment s'en servire, et, si c'est pas trop demander, si quelqu'un aurait une adresse de page de teste non sécurisée pour que j'essaye ça ( suffit d'un truc a la va-vite x) ) ?

Et puis, si quelqu'un avait l'aimabilitée de me "prendre sous son aile" ce serait génial... x) ( Je parles pas de me nourrire a la petite cuillère, juste de me montrer la voie pour me renseigner sur ce domaine, de ma guider )

[ Comment-ça j'en demande trop ? Meuh non, qui ne tente rien n'a rien comme disait l'autre... :-° ]

[Zmx]

http://www.phpsecure.info/v2/article/phpmysql.php

Difficile de faire plus "simple" comme tutorial.

Si tu as encore des questions apres, essaye d'etre plus précis

[Psykose]

Bon, j'ai lu le tuto, il est semblable aux précédents, je comprends les grandes lignes (le principe est d"utiliser" le code a travers l'espace de saisie, enfin a ce que j'ai compris ) mais certains termes m'échappent toujours ( impossible de les nommer, y'a a trop x) )
J'ai aussi compris qu'il y'a plusieurs façons de l'utiliser. On peut placer "); // après le login et mettre n'importe quel passe, ou bien mettre ' OR 1=1/* toujours après le login. J'ai aussi vu qu'il y avait d'autres "choses" (comment on appelle ça ? une commande ?) possible. J'ia bien compris comment marchait le "); // ( "); servant a fermer la saisie et // a mettre le mot de passe en commentaire dans le code pour qu'il ne soit pas lu. ) par contre, j'ai toujours pas saisi le fonctionnement du ' OR 1=1/*

Et puis, personne a idée d'une adresse d'une page ou je pourrais expérimenter ça ? Je tiens pas spécialement a essayer sur des sites fréquentés ou servants a autre chose x)
Merci

[the lsd]

a mon avis, si tu veux comprendre le principe d'une injection SQL, il faut d'abord comprendre ce qu'est le SQL.
Tu dois rentrer dans le SQL, sentir le SQL, devenir le SQL, fusionner avec le SQL, faire l'amour avec le SQL...

Les injections SQL sont un point de détail (bon, il est assez gros, mais c'est pas le sujet) par rapport à tout ce language. Si tu veux bien assimiler ce poitn de détail, il faudra tout d'abord comprendre, asssimiler, étudier la globalité, c'est à dire tout le language.

C'est donc pour ca que je laisse quelques liens qui te seront utiles pour comprendre le language SQL
http://www-fr.mysql.com/
http://sgbd.developpez.com/
http://www.siteduzero.com

Enjoy

The lsd

[micka13]

Pour avoir un exemple concret , et bien il existe tres peu de site a l'heure actuel ou tu as cette faille dans "entrez votre login et pass"...Par contre il y en a un peu plus qui possede cette faille , mais de maniere autre.Par exemple tu as un lien comme http://sitebidon.fr/index.php?image=4 , il se peut que tu puisses rajouter "http://sitebidon.fr/index.php?image=4 UNION Select * from ......." Enfin c'est un exemple autre que le simple 'or''=''# a la place du login.