[Owasp-turkey] [Yeni Yöntem - Beta] Tek karakter için Sadece 2 İstekle blind sql injection

Canberk BOLAT canberk.bolat at gmail.com
Fri Jun 4 13:12:05 EDT 2010


Merhabalar,
Maksimum 43 saniye ve 2 istek ile ascii 48-122 aralığındaki tüm
karakterleri bulan bir yapı oturttum.
Test sonucu ekteki resimde, en son yapı üzerine tekrar düzenleyeyim
dökümanı ve yollayayım..

not: resimdeki +1 ekstra istek en başta ulaşılacak verinin uzunluğu
için yapılıyor..

04 Haziran 2010 11:06 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com> yazdı:
> Merhaba Canberk,
> Duzeltmelerinle beraber gonderebilir misin makaleni. Yayinlayalim.
>
> bedirhan
> 03 Haziran 2010 13:38 tarihinde Bunyamin Demir <bunyamindemir at gmail.com>
> yazdı:
>>
>> Merhabalar,
>>
>> Aslında zaten öyle olmalı. Çünkü 26 karakter var ( kucuk harfler).
>>
>> sorgunun içine ek birşey koyup, sleep süresini azaltabilirmiyiz ona
>> bakalım.
>>
>> Syg.
>>
>>
>>
>> 03 Haziran 2010 12:16 tarihinde Canberk BOLAT <canberk.bolat at gmail.com>
>> yazdı:
>>>
>>> Teşekkürler Bedirhan abi :) şöyle bir bulguya daha ulaştım onuda
>>> paylaşayım, mod 13 değilde mod 32 dersek, 32 dememin sebebi     32 * 3
>>> = 96 ve 32 * 4 = 128 olduğundan 97-122 aralığında bir sayı değil. bu
>>> sebeple şöyle bir tablo ortaya çıkıyor ki maksimum sleep süresi 26
>>> saniye oluyor..
>>>
>>> 97 MOD 32 = 1
>>> 98 MOD 32 = 2
>>> 99 MOD 32 = 3
>>> 100 MOD 32 = 4
>>> 101 MOD 32 = 5
>>> 102 MOD 32 = 6
>>> 103 MOD 32 = 7
>>> 104 MOD 32 = 8
>>> 105 MOD 32 = 9
>>> 106 MOD 32 = 10
>>> 107 MOD 32 = 11
>>> 108 MOD 32 = 12
>>> 109 MOD 32 = 13
>>> 110 MOD 32 = 14
>>> 111 MOD 32 = 15
>>> 112 MOD 32 = 16
>>> 113 MOD 32 = 17
>>> 114 MOD 32 = 18
>>> 115 MOD 32 = 19
>>> 116 MOD 32 = 20
>>> 117 MOD 32 = 21
>>> 118 MOD 32 = 22
>>> 119 MOD 32 = 23
>>> 120 MOD 32 = 24
>>> 121 MOD 32 = 25
>>> 122 MOD 32 = 26
>>>
>>>
>>>
>>> --
>>> Canberk BOLAT
>>> http://hc0de.blogspot.com
>>> http://twitter.com/hc0de
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>>
>> --
>> Bünyamin Demir
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>
>
>
> --
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>



-- 
Canberk BOLAT
http://hc0de.blogspot.com
http://twitter.com/hc0de


More information about the Owasp-turkey mailing list