Reacties (12)
08-03-2021, 12:26 door
Anoniem
+++++[>+++++++++++++++++++>+++++++++++++++++++++
++>++++++++++++++++++++++++>+++++++>++++++++++++
++++++++>++++++++++++++++++++++<<<<<<-]>-----.>-
---.>---.>---.<+++++.<.--.>>>---..<<<+++++.>>.>>
---.<<<<+++.>>>>+++..<++++.>.<<<<<<++++++++++.<>
++>++++++++++++++++++++++++>+++++++>++++++++++++
++++++++>++++++++++++++++++++++<<<<<<-]>-----.>-
---.>---.>---.<+++++.<.--.>>>---..<<<+++++.>>.>>
---.<<<<+++.>>>>+++..<++++.>.<<<<<<++++++++++.<>
08-03-2021, 13:02 door
Anoniem
Wat doet dat sql injectie statement in de poll?
08-03-2021, 14:09 door
Anoniem
Door Anoniem: Wat doet dat sql injectie statement in de poll?
Ik ben benieuwd hoe dat gelezen moet worden gezien het mogelijk beide een 'ja' betekend, edoch zegt het iets over de stemmer.Het kan iets zeggen over de serieusheid van de stemmer. Is daarmee een minderheid zo serieus dat ze die SQL injectie niet professioneel vinden als antwoord? Er schieten w.d.b. zoveel gedachten door me heen.
Als je veel enquetes uitzet dan worden dat soort antwoorden in de norm vrij lastig.
08-03-2021, 16:05 door
Anoniem
Door Anoniem:
Het kan iets zeggen over de serieusheid van de stemmer. Is daarmee een minderheid zo serieus dat ze die SQL injectie niet professioneel vinden als antwoord? Er schieten w.d.b. zoveel gedachten door me heen.
Als je veel enquetes uitzet dan worden dat soort antwoorden in de norm vrij lastig.
Door Anoniem: Wat doet dat sql injectie statement in de poll?
Ik ben benieuwd hoe dat gelezen moet worden gezien het mogelijk beide een 'ja' betekend, edoch zegt het iets over de stemmer.Het kan iets zeggen over de serieusheid van de stemmer. Is daarmee een minderheid zo serieus dat ze die SQL injectie niet professioneel vinden als antwoord? Er schieten w.d.b. zoveel gedachten door me heen.
Als je veel enquetes uitzet dan worden dat soort antwoorden in de norm vrij lastig.
Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
' OR 1=1 --
08-03-2021, 16:37 door
Anoniem
Zegt het niet invullen van de poll iets over de mindset?
08-03-2021, 18:48 door
Anoniem
Door Anoniem:
Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
Euhm... Misschien om de script-kiddies van de echte hackers te onderscheiden...Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
' OR 1=1 --
' OR 1=1 # kan nl een prima valide syntax zijn... hangt 'n beetje van het type SQL-server af waarop je de injectie uitvoert...
08-03-2021, 22:37 door
Anoniem
Hier ter verklaring van het preferente en meest verkozen antwoord:
https://stackoverflow.com/questions/52134712/sql-injection-what-is-the-difference-between-or-1-1-and-or-1-1
Gebaseerd op het feit dat 1+1 is Altoos Waar. Je kunt zo smart input ingeven zoals userId en niets hindert je om "verkeerde input" in te geven. Dan is er ook nog ' or 1==1--? voor query software in te geven. Het is dus allemaal hacker exploit code of onderdeel hiervan. 3e jaars Technische IT studenten moeten "deze voorbeeldjes" allemaal vast wel kennen, alsmede de l33t h4cker natuurlijk. Ja, juist en tevens ook John the Lionhearted. Een soort 'zoek de tien verschillen' spelletje, maar dan bij SQL issues ;).
luntrus
https://stackoverflow.com/questions/52134712/sql-injection-what-is-the-difference-between-or-1-1-and-or-1-1
Gebaseerd op het feit dat 1+1 is Altoos Waar. Je kunt zo smart input ingeven zoals userId en niets hindert je om "verkeerde input" in te geven. Dan is er ook nog ' or 1==1--? voor query software in te geven. Het is dus allemaal hacker exploit code of onderdeel hiervan. 3e jaars Technische IT studenten moeten "deze voorbeeldjes" allemaal vast wel kennen, alsmede de l33t h4cker natuurlijk. Ja, juist en tevens ook John the Lionhearted. Een soort 'zoek de tien verschillen' spelletje, maar dan bij SQL issues ;).
luntrus
09-03-2021, 10:24 door
Anoniem
Door Anoniem:
' OR 1=1 # kan nl een prima valide syntax zijn... hangt 'n beetje van het type SQL-server af waarop je de injectie uitvoert...
Door Anoniem:
Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
Euhm... Misschien om de script-kiddies van de echte hackers te onderscheiden...Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
' OR 1=1 --
' OR 1=1 # kan nl een prima valide syntax zijn... hangt 'n beetje van het type SQL-server af waarop je de injectie uitvoert...
In mysql kun je het # symbool gebruiken voor commentaar, en -- is native sql dat altijd werkt.
09-03-2021, 13:10 door
Anoniem
Door Anoniem:
+++++[>+++++++++++++++++++>+++++++++++++++++++++
++>++++++++++++++++++++++++>+++++++>++++++++++++
++++++++>++++++++++++++++++++++<<<<<<-]>-----.>-
---.>---.>---.<+++++.<.--.>>>---..<<<+++++.>>.>>
---.<<<<+++.>>>>+++..<++++.>.<<<<<<++++++++++.<>
++>++++++++++++++++++++++++>+++++++>++++++++++++
++++++++>++++++++++++++++++++++<<<<<<-]>-----.>-
---.>---.>---.<+++++.<.--.>>>---..<<<+++++.>>.>>
---.<<<<+++.>>>>+++..<++++.>.<<<<<<++++++++++.<>
Zou zomaar kunnen
09-03-2021, 16:10 door
Anoniem
Door Anoniem: Wat doet dat sql injectie statement in de poll?
precies, echte hackers klikken niet zomaar op een pol op een eng CMS zonder tor browser in een apart netwerk op een wifi netwerk geleend van de buren met een hak5 gekocht met een anonieme creditcard, afgeleverd bij de vriend van een vriendin van een online game.
10-03-2021, 17:07 door
Anoniem
Door Anoniem: Wat doet dat sql injectie statement in de poll?
In het geval van onbeveiligde code in een website, bij het invoeren van bijv. een username dan zorgt de SQL-injectie van de poll ervoor dat je tegen de database zegt: "<invoer> OF 1=1". Maar 1 staat altijd gelijk aan 1.
Vervolgens krijg je de inhoudelijke data van de database te zien, omdat die SQL-injectie als goede invoer wordt gezien in de back-end van de (web)applicatie.
Dit wordt vaak opgelost door de juiste programmeercode in de back-end toe te passen, zodat dat die injectie niet meer als goede input wordt gezien bij het invoeren van die username.
10-03-2021, 18:56 door
Anoniem
Door Anoniem:
In het geval van onbeveiligde code in een website, bij het invoeren van bijv. een username dan zorgt de SQL-injectie van de poll ervoor dat je tegen de database zegt: "<invoer> OF 1=1". Maar 1 staat altijd gelijk aan 1.
Vervolgens krijg je de inhoudelijke data van de database te zien, omdat die SQL-injectie als goede invoer wordt gezien in de back-end van de (web)applicatie.
Dit wordt vaak opgelost door de juiste programmeercode in de back-end toe te passen, zodat dat die injectie niet meer als goede input wordt gezien bij het invoeren van die username.
Door Anoniem: Wat doet dat sql injectie statement in de poll?
In het geval van onbeveiligde code in een website, bij het invoeren van bijv. een username dan zorgt de SQL-injectie van de poll ervoor dat je tegen de database zegt: "<invoer> OF 1=1". Maar 1 staat altijd gelijk aan 1.
Vervolgens krijg je de inhoudelijke data van de database te zien, omdat die SQL-injectie als goede invoer wordt gezien in de back-end van de (web)applicatie.
Dit wordt vaak opgelost door de juiste programmeercode in de back-end toe te passen, zodat dat die injectie niet meer als goede input wordt gezien bij het invoeren van die username.
De laatste zin klopt niet. Door de juiste programmeercode toe te passen wordt de injectie niet gezien als deel van het sql statement, maar als username (wat geen username is).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
