Austrias Next Topmodel - Spoilerwarnung

    Falls es wen interessiert:

    http://topmodel.puls4.com/episodes/0))%20UNION%20SELECT%20b.uid,b.title,b.image,b.shorttext,b.content_type,b.media,b.starttime,b.crdate,b.episode_category_uid,b.crdate%20as%20custom_sorting%20from%20cd_articles%20b%20WHERE%20!b.deleted%20AND%200=((0

    Da steht, wer nächste Woche rausfliegt. :verycool:

    "I don't think that Debian can really compete with Gentoo. Sure it might be okay, but when it comes to dependencies, you probably are still going to have to get them all on your own. Or is there something like portage in the Debian world as well?"

    Zitat von Sandybutt

    Falls es wen interessiert:

    http://topmodel.puls4.com/episodes/0))%20UNION%20SELECT%20b.uid,b.title,b.image,b.shorttext,b.content_type,b.media,b.starttime,b.crdate,b.episode_category_uid,b.crdate%20as%20custom_sorting%20from%20cd_articles%20b%20WHERE%20!b.deleted%20AND%200=((0

    Da steht, wer nächste Woche rausfliegt. :verycool:

    Selbst ausgetüftelt ?

    "Thou shalt not follow the NULL pointer, for chaos and madness await thee at its end."

    Edit/Umformuliert: Autsch, sowas sollte nicht sein. Ob die auch DDL-Statements zulassen?

    Und nochmal edit: Die geben sogar DB-Fehlermeldungen aus. Hat ihnen schon wer geschrieben?

    2 Mal editiert, zuletzt von fabs (25. Januar 2009 um 15:26) aus folgendem Grund: zu böse

    also ich fands nicht zu böse :ausheck:

    Buyit useit breakit fixit trashit changeit mail upgradeit chargeit pointit zoomit pressit snapit workit quick eraseit
    writeit getit pasteit saveit loadit checkit quick rewriteit plugit playit burnit ripit dragit dropit zip unzipit lockit fillit
    callit findit viewit codeit jam unlockit surfit scrollit pauseit clickit crossit crackit switch updateit nameit readit tuneit
    printit scanit sendit fax renameit touchit bringit payit watchit turnit leaveit start formatit.

    Zitat von pchris

    Selbst ausgetüftelt ?

    Gemeinsam mit 2 Kollegen. Security VU sei Dank. :)

    Zitat von fytzi

    cool, danke für den Link!

    Gibts sonst noch irgendwelche netten Infos, die man aus der DB auslesen kann? :winking_face:

    Der User, der die Abfrage ausführt, hat leider nur sehr beschränkte Rechte, andere Tabellen abfragen ist leider nicht drin. Und über ein Update hab ich gar nicht nachgedacht. :)

    "I don't think that Debian can really compete with Gentoo. Sure it might be okay, but when it comes to dependencies, you probably are still going to have to get them all on your own. Or is there something like portage in the Debian world as well?"

    Zitat von Sandybutt

    Gemeinsam mit 2 Kollegen. Security VU sei Dank. :)
    Der User, der die Abfrage ausführt, hat leider nur sehr beschränkte Rechte, andere Tabellen abfragen ist leider nicht drin. Und über ein Update hab ich gar nicht nachgedacht. :)

    update wird vermutlich nicht gehen, weil man in ein select nicht einfach so dml-statements einbauen kann. die rechte hätte der user aber vermutlich (glaube nicht, dass die webseite mehrere user für getrennte schreib- und lesezugriffe hat - vor allem wenn er "topmodel1" heißt)

    wegen zugriff auf andere tabellen: aus der fehlermeldung kann man sehen, dass ein typo3 (alpha :omg:) verwendet wird - wenn man sich mit den tabellen davon auskennt, kann man sicher mehr auch abfragen

    auf die mysql-datenbank hat er keinen zugriff, allerdings auf information_schema glaube ich schon (allerdings gabs da ein collation-problem, daher nicht weiter verfolgt)

    hf


    /edit: vielleicht kann man dml-statements absetzen, wenn man die query so umbauen würde:
    select blabla <injectioncode> orderby bla
    auf
    select blabla; dml zeug; select alibisqlcode orderby bla

    hängt davon ab, ob das im php geht, in einem mysql-command mehrere statements abzusetzen - bin grad zu faul, das auszuprobieren

    allerdings mache ich sowas grundsätzlich nicht - nicht einmal bei der seite :winking_face:

    2 Mal editiert, zuletzt von b_evil (25. Januar 2009 um 20:24)

    Zitat von b_evil

    vielleicht kann man dml-statements absetzen, wenn man die query so umbauen würde:
    select blabla <injectioncode> orderby bla
    auf
    select blabla; dml zeug; select alibisqlcode orderby bla

    hängt davon ab, ob das im php geht, in einem mysql-command mehrere statements abzusetzen - bin grad zu faul, das auszuprobieren

    Geht eh nicht:

    Zitat von http://de.php.net/mysql_query

    mysql_query() sends a unique query (multiple queries are not supported) to the currently active database (...)

    Schoen rausgefunden jedenfalls. Glaubt ihr koennte man die Informationen um gutes Geld an Zeitungen verkaufen oder wissen die sowieso alle schon laengst ueber noch nicht ausgestrahlte Episoden bescheid?

    Zitat von beefy

    Geht eh nicht:


    Schoen rausgefunden jedenfalls. Glaubt ihr koennte man die Informationen um gutes Geld an Zeitungen verkaufen oder wissen die sowieso alle schon laengst ueber noch nicht ausgestrahlte Episoden bescheid?

    Die Kandidaten haben alle einen sehr strengen Vertrag unterschreiben müssen. Wenn Puls4 herausbekommt, dass jem. Informationen herausgegeben hat, müssen sie zahlen.
    Deshalb glaube ich nicht, dass die Medien schon genau wissen, wer wann rausfliegt. Probieren könntest du es also (wenn du eine Zeitung findest, die für diese Infos Geld bezahlt).

    Du solltest aber schnell sein. Hab heute erfahren, dass nächste Woche am Donnerstag schon das Finale sein soll ... (deshalb zeigen sie es jetzt auch Montag u. Donnerstag).

    "I would love to change the world, but they won't give me the source code "

    Zitat von fytzi

    Deshalb glaube ich nicht, dass die Medien schon genau wissen, wer wann rausfliegt.

    Ich glaub ehrlich gesagt schon; in der Branche wird sich sowas ja kaum geheimhalten lassen (die Dreharbeiten sind ja wohl schon einige Tage lang vorbei). Und so oder so, hast recht, die naechste Folge wird eh schon heut abend ausgestrahlt. Naja, whatever.

    Zitat von beefy

    Schoen rausgefunden jedenfalls. Glaubt ihr koennte man die Informationen um gutes Geld an Zeitungen verkaufen oder wissen die sowieso alle schon laengst ueber noch nicht ausgestrahlte Episoden bescheid?


    Sollte man ihnen nicht eher eine Mail schreiben und sie auf diesen sicherheitstechnischen Wahnsinn aufmerksam machen? :sudern:

    Zitat von beefy

    Statt diesem Post haettest du auch die Mail schreiben koennen :winking_face:


    Würde ich auch machen, wenn diejenigen, die das gefunden haben, es noch nicht getan haben und auch nicht die Absicht haben, es zu tun. Deshalb hab ich in einem Post weiter oben auch schon gefragt, ob das bereits geschehen ist. Nach dem, was ein Gast in Gesellschaftliche Spannungsfelder der Informatik bei Prof. Purgathofer erzählt hat, reicht das Spektrum von Reaktionen auf solche Nachrichten von Drohungen bis zu geldwerten Belohnungen (oder auch ersteres gefolgt von zweiterem, nachdem man sich an höhere Stellen oder die Presse gewandt hat :) ). Hier wird wohl eher weder das eine noch das andere Extrem eintreten, dafür ist das wohl zu unwichtig, aber erstmal liegt es imho an Sandybutt und seinen Kollegen, weil es ja auch ein gewisser Erfolg ist, den sie für sich beanspruchen können.

    Schad, jetzt haben sie's gefixt. :frowning_face:

    "I don't think that Debian can really compete with Gentoo. Sure it might be okay, but when it comes to dependencies, you probably are still going to have to get them all on your own. Or is there something like portage in the Debian world as well?"

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden