<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:arial,helvetica,sans-serif;font-size:10pt"><div>Hi Jack,<br>Can you give us some hints on how you could find the vulnerability.<br><br>Regards<br>Prashant<br></div><div style="font-family:arial, helvetica, sans-serif;font-size:10pt"><br><div style="font-family:times new roman, new york, times, serif;font-size:12pt"><font size="2" face="Tahoma"><hr size="1"><b><span style="font-weight: bold;">From:</span></b> Jack H4xor &lt;j4ckh4xor@gmail.com&gt;<br><b><span style="font-weight: bold;">To:</span></b> owasp-bangalore@lists.owasp.org; owasp-delhi@lists.owasp.org; owasp-mumbai@lists.owasp.org<br><b><span style="font-weight: bold;">Sent:</span></b> Sun, March 27, 2011 1:06:30 PM<br><b><span style="font-weight: bold;">Subject:</span></b> [Owasp-delhi] MySQL.com Vulnerable To Blind SQL Injection‏<br></font><br><br><div class="gmail_quote"><br>
<div lang="EN-IN"><div><p class="MsoNormal"><span>---------------------------------------------------------------------------------------<br>[+] MySQL.com Vulnerable To Blind SQL Injection vulnerability<br>
[+] Author: Jackh4xor @ w4ck1ng<span style="color:rgb(31, 73, 125);"> (</span><a rel="nofollow" target="_blank" href="http://www.jackh4xor.com">http://www.jackh4xor.com</a>)<br>[+] Disclosed To: <span style="color:rgb(31, 73, 125);"><a rel="nofollow" target="_blank" href="http://www.hackerregiment.com/mysql-com-vulnerable-to-blind-sql-injection.html">http://www.hackerregiment.com/mysql-com-vulnerable-to-blind-sql-injection.html</a> </span><br>
---------------------------------------------------------------------------------------<br><br>About MySQL.com :<br>--------------------------------------------------------------------------------------------------------------------<br>
<br>The Mysql website offers database software, services and support for your business, including the Enterprise server, the Network monitoring and advisory services and the production support. The wide range of products include: Mysql clusters, embedded database, drivers for JDBC, ODBC and Net, visual database tools (query browser, migration toolkit) and last but not least the MaxDB- the open source database certified for SAP/R3. The Mysql services are also made available for you. Choose among the Mysql training for database solutions, Mysql certification for the Developers and DBAs, Mysql consulting and support. It makes no difference if you are new in the database technology or a skilled developer of DBA, Mysql proposes services of all sorts for their customers. <br>
--------------------------------------------------------------------------------------------------------------------<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;<br><br>Vulnerable Target&nbsp; :&nbsp;&nbsp; <a rel="nofollow" target="_blank" href="http://mysql.com/customers/view/index.html?id=1170">http://mysql.com/customers/view/index.html?id=1170</a><br>
Host IP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp; 213.136.52.29<br>Web Server&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp; Apache/2.2.15 (Fedora)<br>Powered-by&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp; PHP/5.2.13<br>Injection Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp; MySQL Blind<br>Current DB&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp; web<br><br>Data Bases:&nbsp;&nbsp; &nbsp;<br>
<br>information_schema<br>bk<br>certification<br>c?ashme<br>cust_sync_interim<br>customer<br>dbasavings<br>downloads<br>feedback<br>glassfish_interface<br>intranet<br>kaj<br>license_customers<br>manual<br>manual_search<br>
mem<br>mysql<br>mysqlforge<br>mysqlweb<br>news_events<br>partner_t?aining<br>partners<br>partners_bak<br>phorum5<br>planetmysql<br>qa_contribution<br>quickpoll<br>robin<br>rp<br>sampo<br>sampo_interface<br>sessions<br>softrax<br>
softrax_interim<br>solutions<br>tco<br>test<br>track<br>track_refer<br>wb<br>web<br>web_control<br>web_projects<br>web_training<br>webwiki<br>wordpress<br>zack<br><br>Current DB: web<br><br>Tables<br><br>xing_validation&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;<br>
v_web_submissions&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;<br>userbk <br>user_extra&nbsp;&nbsp;&nbsp; &nbsp;<br><br>user&nbsp; Columns: cwpid version lead_quality sfid industry address2 created last_modified lang notify newsletter gid title fax cell phone country zipcode state city address business company position lastname firstname passwd verified bounces email user_id<br>
<br></span><b><span style="font-size:14pt;color:rgb(31, 73, 125);"><a rel="nofollow" target="_blank" href="http://www.hackerregiment.com/mysql-com-vulnerable-to-blind-sql-injection.html">Click Here to Read More...</a></span></b><span></span></p>
</div></div></div><br>
</div></div>



</div></body></html>