Qwazar. Технический блог.

Вывод информации в ошибке для MySQL всех версий

Декабрь 15th, 2009 | 96 комментарие(я) | Опубликовано в SQL инъекции

Некоторое время назад мной была продемонстрирована методика получения значения поля в тексте выводимой ошибки, при слепой SQL инъекции. Методика была основана на использовании функции name_const(). Всё бы ничего, но смущает то, что эта функция полностью работоспособна только в MySQL версий 5.0.12-5.0.64.

Затем Дмитрием Евтеевым была продемонстрирована схожая методика основанная на использовании функции ExtractValue(), которая доступна начиная с MySQL 5.1.5.

В итоге получаем неплохое покрытие для MySQL 5й ветки. Для 4й ветки пока схожего варианта не было.

В связи с открытием блога, достаю из недр античата ещё один обнаруженный мной метод, который работает для MySQL всех версий начиная с 4.1 .

Метки: Blind SQL injection, MySQL, MySQL4, MySQL5, SQL Injection, исследования, палю приват

Новые посты

Новые комментарии

myths and facts about prednisone:Just wrapabate all the pistach
amount of potassium needed with lasix:Phenylephrine peridural may co
augmentin and auditory nerve damage:Randomization was daysinitial
acid reflux persists with prevacid:I did optimize a [i]armstrong
combine prednisone and pain killer:It is luckly usuallyused if na
going off celexa cold turkey:Hemarthrosis, hematuria, hemop
order imitrex online dream pharmaceutical:Is [u]atrovent working in the
famvir for epstein barr virus:"this may topiramate the [b]do
free samples imitrex injection 6mg:Replace the exubera [u]does pr
order abilify:Always randomize the interacti

Архивы

О блоге

Блог предназначен для публикации всяких разных записок технического плана. Буду стараться делать упор на собственные исследования, и всё то что мне покажется интересным.
Мета

Qwazar. Технический блог.

Вывод информации в ошибке для MySQL всех версий

Новые посты

Новые комментарии

Архивы

Рубрики

Метки

О блоге

Мета