Reacties (12)
+++++[>+++++++++++++++++++>+++++++++++++++++++++
++>++++++++++++++++++++++++>+++++++>++++++++++++
++++++++>++++++++++++++++++++++<<<<<<-]>-----.>-
---.>---.>---.<+++++.<.--.>>>---..<<<+++++.>>.>>
---.<<<<+++.>>>>+++..<++++.>.<<<<<<++++++++++.<>
++>++++++++++++++++++++++++>+++++++>++++++++++++
++++++++>++++++++++++++++++++++<<<<<<-]>-----.>-
---.>---.>---.<+++++.<.--.>>>---..<<<+++++.>>.>>
---.<<<<+++.>>>>+++..<++++.>.<<<<<<++++++++++.<>
Door Anoniem: Wat doet dat sql injectie statement in de poll?
Ik ben benieuwd hoe dat gelezen moet worden gezien het mogelijk beide een 'ja' betekend, edoch zegt het iets over de stemmer.Het kan iets zeggen over de serieusheid van de stemmer. Is daarmee een minderheid zo serieus dat ze die SQL injectie niet professioneel vinden als antwoord? Er schieten w.d.b. zoveel gedachten door me heen.
Als je veel enquetes uitzet dan worden dat soort antwoorden in de norm vrij lastig.
Door Anoniem:
Het kan iets zeggen over de serieusheid van de stemmer. Is daarmee een minderheid zo serieus dat ze die SQL injectie niet professioneel vinden als antwoord? Er schieten w.d.b. zoveel gedachten door me heen.
Als je veel enquetes uitzet dan worden dat soort antwoorden in de norm vrij lastig.
Door Anoniem: Wat doet dat sql injectie statement in de poll?
Ik ben benieuwd hoe dat gelezen moet worden gezien het mogelijk beide een 'ja' betekend, edoch zegt het iets over de stemmer.Het kan iets zeggen over de serieusheid van de stemmer. Is daarmee een minderheid zo serieus dat ze die SQL injectie niet professioneel vinden als antwoord? Er schieten w.d.b. zoveel gedachten door me heen.
Als je veel enquetes uitzet dan worden dat soort antwoorden in de norm vrij lastig.
Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
' OR 1=1 --
Door Anoniem:
Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
Euhm... Misschien om de script-kiddies van de echte hackers te onderscheiden...Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
' OR 1=1 --
' OR 1=1 # kan nl een prima valide syntax zijn... hangt 'n beetje van het type SQL-server af waarop je de injectie uitvoert...
Hier ter verklaring van het preferente en meest verkozen antwoord:
https://stackoverflow.com/questions/52134712/sql-injection-what-is-the-difference-between-or-1-1-and-or-1-1
Gebaseerd op het feit dat 1+1 is Altoos Waar. Je kunt zo smart input ingeven zoals userId en niets hindert je om "verkeerde input" in te geven. Dan is er ook nog ' or 1==1--? voor query software in te geven. Het is dus allemaal hacker exploit code of onderdeel hiervan. 3e jaars Technische IT studenten moeten "deze voorbeeldjes" allemaal vast wel kennen, alsmede de l33t h4cker natuurlijk. Ja, juist en tevens ook John the Lionhearted. Een soort 'zoek de tien verschillen' spelletje, maar dan bij SQL issues ;).
luntrus
https://stackoverflow.com/questions/52134712/sql-injection-what-is-the-difference-between-or-1-1-and-or-1-1
Gebaseerd op het feit dat 1+1 is Altoos Waar. Je kunt zo smart input ingeven zoals userId en niets hindert je om "verkeerde input" in te geven. Dan is er ook nog ' or 1==1--? voor query software in te geven. Het is dus allemaal hacker exploit code of onderdeel hiervan. 3e jaars Technische IT studenten moeten "deze voorbeeldjes" allemaal vast wel kennen, alsmede de l33t h4cker natuurlijk. Ja, juist en tevens ook John the Lionhearted. Een soort 'zoek de tien verschillen' spelletje, maar dan bij SQL issues ;).
luntrus
Door Anoniem:
' OR 1=1 # kan nl een prima valide syntax zijn... hangt 'n beetje van het type SQL-server af waarop je de injectie uitvoert...
Door Anoniem:
Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
Euhm... Misschien om de script-kiddies van de echte hackers te onderscheiden...Misschien was die optie erin gezet om te kijken of de echte hackers wel de syntax fout zagen, het moet namelijk zijn
' OR 1=1 --
' OR 1=1 # kan nl een prima valide syntax zijn... hangt 'n beetje van het type SQL-server af waarop je de injectie uitvoert...
In mysql kun je het # symbool gebruiken voor commentaar, en -- is native sql dat altijd werkt.
Door Anoniem:
+++++[>+++++++++++++++++++>+++++++++++++++++++++
++>++++++++++++++++++++++++>+++++++>++++++++++++
++++++++>++++++++++++++++++++++<<<<<<-]>-----.>-
---.>---.>---.<+++++.<.--.>>>---..<<<+++++.>>.>>
---.<<<<+++.>>>>+++..<++++.>.<<<<<<++++++++++.<>
++>++++++++++++++++++++++++>+++++++>++++++++++++
++++++++>++++++++++++++++++++++<<<<<<-]>-----.>-
---.>---.>---.<+++++.<.--.>>>---..<<<+++++.>>.>>
---.<<<<+++.>>>>+++..<++++.>.<<<<<<++++++++++.<>
Zou zomaar kunnen
Door Anoniem: Wat doet dat sql injectie statement in de poll?
precies, echte hackers klikken niet zomaar op een pol op een eng CMS zonder tor browser in een apart netwerk op een wifi netwerk geleend van de buren met een hak5 gekocht met een anonieme creditcard, afgeleverd bij de vriend van een vriendin van een online game.
Door Anoniem: Wat doet dat sql injectie statement in de poll?
In het geval van onbeveiligde code in een website, bij het invoeren van bijv. een username dan zorgt de SQL-injectie van de poll ervoor dat je tegen de database zegt: "<invoer> OF 1=1". Maar 1 staat altijd gelijk aan 1.
Vervolgens krijg je de inhoudelijke data van de database te zien, omdat die SQL-injectie als goede invoer wordt gezien in de back-end van de (web)applicatie.
Dit wordt vaak opgelost door de juiste programmeercode in de back-end toe te passen, zodat dat die injectie niet meer als goede input wordt gezien bij het invoeren van die username.
Door Anoniem:
In het geval van onbeveiligde code in een website, bij het invoeren van bijv. een username dan zorgt de SQL-injectie van de poll ervoor dat je tegen de database zegt: "<invoer> OF 1=1". Maar 1 staat altijd gelijk aan 1.
Vervolgens krijg je de inhoudelijke data van de database te zien, omdat die SQL-injectie als goede invoer wordt gezien in de back-end van de (web)applicatie.
Dit wordt vaak opgelost door de juiste programmeercode in de back-end toe te passen, zodat dat die injectie niet meer als goede input wordt gezien bij het invoeren van die username.
Door Anoniem: Wat doet dat sql injectie statement in de poll?
In het geval van onbeveiligde code in een website, bij het invoeren van bijv. een username dan zorgt de SQL-injectie van de poll ervoor dat je tegen de database zegt: "<invoer> OF 1=1". Maar 1 staat altijd gelijk aan 1.
Vervolgens krijg je de inhoudelijke data van de database te zien, omdat die SQL-injectie als goede invoer wordt gezien in de back-end van de (web)applicatie.
Dit wordt vaak opgelost door de juiste programmeercode in de back-end toe te passen, zodat dat die injectie niet meer als goede input wordt gezien bij het invoeren van die username.
De laatste zin klopt niet. Door de juiste programmeercode toe te passen wordt de injectie niet gezien als deel van het sql statement, maar als username (wat geen username is).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
