Fokes! Har siddet og fundet en masse sites i kan øve jer på her:
http://www.shellsec.pw/showthread.php?tid=569

Citer:En typisk måde at se om den modtager nogle ting er ved at kigge i URL'en efter POST parametre. POST parametre er dem som vises efter .php som f.eks
www.target.com/news.php?id=23

Pedantisk detalje, men det er et GET parameter.

(17-07-2013, 12:29)flyingsonyy Skrev: Pedantisk detalje, men det er et GET parameter.

Lol. Tænk at jeg har overset det :(
Retter det lige. Tak :)

Man kan selvfølgelig også bruge en proxy som f.eks. Burp Suite, til at fange traffik mellem webserver og browser.
Nogle web admins er så uforskammet naive, at de kan finde på at bruge snavs som <input type=hidden.. til at bære priser på varer osv. med.
Så er det jo meget nærlæggende, liiige at sænke prisen lidt. ;) Man kunne måske også tænke lidt over, hvad der sker hvis man sætter en negativ værdi ind, i stedet for den normale varepris. Man skal bare nå at ændre værdien, inden forbindelsen timer ud.
Godt sammen med googlehacking: intitle:shop "<input" 'type="hidden"' OR "type=hidden" eller noget i den stil.

---

Eller måske er denne bedre:
intitle:shop "<input" 'type="hidden"' OR "type=hidden" "name=price" OR 'name="price"'
Man burde læse lidt op på det. Hehe.
EDIT: Men det har selvfølgelig ikke rigtig noget med SQL Injections at gøre.

eller tamper requesten?

itick forstår ikke lige hvad din post har med noget at gøre? (:.

(17-07-2013, 14:24)sabu Skrev: eller tamper requesten?

itick forstår ikke lige hvad din post har med noget at gøre? (:.

Det er i relation til POST og GET. :)

Nice tut... BTW jeg tror der er noget SQLI her http://624.dk/default.asp?pageid=1780

(23-02-2013, 15:21)Morph3s Skrev: [color=#FF4500]NOTE:

Kode:

www.target.com/news.php?id=23 union select 1,2,3,4,5,6
Eller
www.target.com/news.php?id=-23 union select 1,2,3,4,5,6
(Det er forskelligt hvad der virker, prøv dem begge.)

Det kan også se sådan her ud:
Lige hvis der er nogen der sidder fast et sted