Hackerboard Wiki HaboBlog
Hackerboard bei Facebook Hackerboard bei Google+ Hackerboard bei Twitter

[HaBo]

 
Webmaster-Security Fragen zur richtigen Serverkonfiguration oder Absicherung dynamischer Scripte gehören hier hinein.

Sql-Injection: Namen der DB herausfinden

Diskussion: Sql-Injection: Namen der DB herausfinden im Forum Webmaster-Security, in der Kategorie Security Area; Anzeige Ist es möglich über eine sql Injection den Namen der Datenbank und Spaltennamen herauszufinden?...
Antwort
Themen-Optionen Ansicht
   
Alt 11.06.06, 15:07   #1 (permalink)
 
Registriert seit: 12.04.06
blobbo Leistung: Facit NTK
Likes: 0
Standard Sql-Injection: Namen der DB herausfinden
Anzeige

Ist es möglich über eine sql Injection den Namen der Datenbank und Spaltennamen herauszufinden?

blobbo ist offline   Mit Zitat antworten
Alt 12.06.06, 17:36   #2 (permalink)
Moderator
 
Benutzerbild von Elderan
 
Registriert seit: 30.03.04
Elderan Leistung: 8086
Likes: 14
Standard RE: Sql-Injection: Namen der DB herausfinden
Zitat:
Original von blobbo
Ist es möglich über eine sql Injection den Namen der Datenbank und Spaltennamen herauszufinden?
Hallo,
jein, denn SQL Injection bedeutet, dass man SQL Code einschleusen kann.

Wenn du glück hast kannst du alles machen was du willst, mit nicht ganz soviel Glück nur an deinem Guhaben ein paar Nullen dranhängen und wenn du Pech hast, bringt dir die Injection kaum ein Vorteil.

Es kommt immer auf die Lücke drauf an, was du machen kannst.
Elderan ist offline   Mit Zitat antworten
   
HaBOT
 
- Anzeige -

Werbung ist gerade online    
Alt 12.06.06, 17:52   #3 (permalink)
01
 
Registriert seit: 16.05.06
01 Leistung: Facit NTK
Likes: 0
Standard
Wenn du das DBMS identifizieren kannst hilft dir vielleicht das weiter:
http://sqlzoo.net/howto/source/z.dir/i12meta.xml
01 ist offline   Mit Zitat antworten
Alt 13.06.06, 01:43   #4 (permalink)
Themenstarter
 
Registriert seit: 12.04.06
blobbo Leistung: Facit NTK
Likes: 0
Standard
OK danke erstmal!

Wie sieht es denn hier aus:

Code:
SELECT * FROM tabellenname WHERE name='$phpvariable'
Jetzt kann ich mich mit ' OR 'x'='x schonmal einloggen.

Aber wenn ich nun, wie du meintest , ein paar Nullen ranhängen wollen würde oder einfach einen Wert verändern, dann müsste das doch so gehen!(?) :

Code:
'; UPDATE tabellenname SET wert=1000000 WHERE name='meinname
Naja soweit bin ich mir schonmal nicht sicher ob das klappen kann aber meine Frage ist nun, wenn es gehen sollte...
Wie kann ich denn jetzt den tabellenname wissen und wissen, dass die Variable "wert" heisst!?
Und was und wie kann man bei dem oben stehenden Code noch injizieren?

Danke schonmal!
blobbo ist offline   Mit Zitat antworten
Antwort
   
- Anzeige -

Werbung ist gerade online    

[HaBo] » Security Area » Webmaster-Security » Sql-Injection: Namen der DB herausfinden
« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Namen von 2 Liedern Avenger Music- & Filmbox 2 15.01.08 14:43
BF2 namen ändern? G-Unit Games 1 27.04.07 14:31
Benutzer namen kante23 Windows 1 06.05.06 17:58
XP Namen ändern Maxduck Windows 4 30.03.04 17:23
die dämlichsten namen... -= pillepalle =- Fun Section 1 10.03.03 13:34

Alle Zeitangaben in WEZ +2. Es ist jetzt 21:26 Uhr.
vBulletin® v3.8.7, Copyright ©2000-2012, vBulletin Solutions, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61