The Daily WTF - Oklahoma Leaks Tens of Thousands of Social Security Numbers, Other Sensitive Data
-
Marc++us schrieb:
Oh, das ist cool.
Sucht mal mit Google nach "allinurl: select from where -html"
Ja, sowas ist mir da auch gleich in den Sinn gekommen. Google ist schon echt genial für sowas.
Gab ja auch mal diesen Bug im IExplore(?), der Username/Passwort für FTP-Accounts in HTML-Seiten als Kommentar untergebracht hat.
Das war auch so zu finden ...Man kann sogar offene Mail-Server über Google finden.
Und mir fällt da wieder der Vorfall mit dem berufenet vom arbeitsamt ein, an dem ich und das Forum hier nicht ganz unschuldig war.
-
Ich verstehe nicht mal im Ansatz, wie man so naiv sein kann. Die Seite hig*tech.de gibt sogar "Internet-Lösungen" als einer ihrer Stärken an. Oh man oh man oh man...
-
Vor allem kann man noch nachvollziehen, daß jemandem einen Teilstring eines WHERE-Clauses aus Versehen in eine URL reinschreibt. Sowas passiert auch mal als Seiteneffekt.
Aber ein "select *" ist echt derb. Warum nicht gleich "trunc".
-
sql injection ist doch an der tagesordnung... in jeder form...
jedoch: jetzt nicht wie wild überall probieren und rumtesten..
-
Klingt so, als wäre Google ein Hackertool. Sollte echt verboten werden.
-
Immerhin -
Fortunately, he didn't accuse me of hacking their site. In fact, he seemed appreciative and promised to pass the details along to their developers.
-
Nicht komplet OT, da es um Datenbanken und TheDailyWTF geht.
Ich mag das hier:
http://thedailywtf.com/Articles/Pretty-Simple.aspxPlease, for the sake of all that's good in the world, find yourself a new line of work far removed from computers. In fact, I'm not even sure you should be allowed near a computer, as a matter of public safety.
-
Wenn man bedenkt das sich jedes SELECT sofort durch ein DELETE ersetzen ließe, ist das Echt übel.
-
Dann such' mal nach "DELETE FROM" statt nach SELECT... auch da gibt's eine Unzahl an URLs, Du wirst Bauklötze staunen.
-
Marc++us schrieb:
Dann such' mal nach "DELETE FROM" statt nach SELECT... auch da gibt's eine Unzahl an URLs, Du wirst Bauklötze staunen.
Hm, da finde ich mit "allinurl: "DELETE FROM" where -html" fast nur (ehemalige*g*) phpMyAdmin Installationen.
-
Ich hatte eine Seite von irgendeiner Handelskammer gefunden, wo man Eintrittskarten bestellen konnte... und da waren die Tags auf der Übersichtsseite alle mit DELETE verlinkt. Auch nicht schlecht.
Aber die ganzen leeren phpMyAdmins sind auch nicht schlecht, das stimmt.
