A story of one not-a-bug SQL injection

Recently I was auditing a website for security vulnerabilities. I found few good issues, but one part of the application looked solid - all interactions with database were done through PHP-MySQLi-Database-Class - a helper library that utilized parameterized statements. I wanted to get into the database really badly, so the only option I had was to find a vulnerability in the library.

»
Author's profile picture Jaroslav Lobačevski on HackAndTell and SQLi

Kodėl hakeriai nemoka baudų?

Straipsnis pirmą kartą publikuotas 2019-02-20 Linkedin.
Manau https://tvarkaumiesta.lt yra puikus puslapis suteikiantis galimybę teikti pasiūlymus miesto tvarkymo klausimais arba įskųsti kokį pažeidėją ;) Teko ir pačiam pasinaudoti juo. Mano dėmesį patraukė keturios ikonos po paties sukurtu pranešimu kurių iš pradžių net nepastebėjau:

»
Author's profile picture Jaroslav Lobačevski on HackAndTell and TvarkauMiesta