Web Hacking
Web Hacking : Faille sql
Bonjour :
j’ai trouvé une faille dans un site qui, lorsqu’on modifie le ?codeAuteur dans la barre d’url, nous affiche ceci :
Erreur au mysql_myquery BIGSEARCH(SELECT prenomAuteur , nomAuteur, biographie, email, site, en_savoir_plus, presse, titre_av, lien_av, titre_presse, lien_presse FROM vAuteur WHERE codeAuteur = ) You have an error in your SQL syntax ; check the manual that corresponds to your MySQL server version for the right syntax to use near ’’ at line 3
Voilà, ma question était : Serait-il possible de faire une UNION pour pouvoir afficher le nom des autres tables qui se trouvent dans la database : si oui comment ?
Cordialement.
Web Hacking : Faille sql
En fait, je cherche à savoir si la faille est dangereuse pour la sécurité du site : si quelqu’un pouvait l’exploiter.
Avec vos réponses je voulais à fortiori savoir si le Webmaster du site web devrait être prévenu.
Donc, pas d’inquiétude.
Si vous me dîtes qu’elle peut s’avérer sensible alors je préviendrai le Webmaster du site en question.
Cordialement.
Web Hacking : Faille sql
J’ai trouvé le site en question dont tu parles.
après une vague recherche, il ne semble pas que le site stocke des informations "sensibles", mais en effet, comme le dit g0uZ, ça mérite d’être corrigé.
As-tu informé le propriétaire du site ?
Web Hacking : Faille sql
Non mais je vais le faire.
Merci.
Cordialement.
EDIT : Propriétaire informé