• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Web Attach

  • Автор темы susinmn
  • Дата начала
S

susinmn

На сервере запрещено вставлять в Web*е на форме attach. Как все-таки можно это обойти?

Функционал бд: в Web*е открывается форма, там забивается инфа+нужно прикрепить как-то файлы, при нажатии на кнопку создается док в бд и идет письмо некому пользователю.

Можно как-то эти attach файлы слать письмом в бд(mail-in databases) и потом к основному документу прикреплять?
 
T

turumbay

susinmn сказал(а):
На сервере запрещено вставлять в Web*е на форме attach. Как все-таки можно это обойти?
Нажмите, чтобы раскрыть...
Отдайте домине кодированный файл в теле POST-a:
На клиенте: js вываливает файл ( кодированный base64 ) в hidden-поле
На сервере: на форме одноименное поле типа RT, обработка поста в wqs - декодируем и цепляем к документу как положено.
З.Ы. А что за настройка, запрещающая аттачи на форме?
 
A

abbatik

turumbay сказал(а):
Отдайте домине кодированный файл в теле POST-a:
На клиенте: js вываливает файл ( кодированный base64 ) в hidden-поле
На сервере: на форме одноименное поле типа RT, обработка поста в wqs - декодируем и цепляем к документу как положено.
З.Ы. А что за настройка, запрещающая аттачи на форме?
Нажмите, чтобы раскрыть...

Сначала сказал как обойти, а потом спросил что за настройка запрещает :rolleyes: отлично, поржал :)
 
S

susinmn

Я тоже не знаю, даже не знаю, как обойти..
Я только бд клепаю, а вот наш Admin в Москве говорит, что мол ему свехру сказали, что б он лазейку закрыл)

р.ы.: а можете скрипты показать, если у кого реализовано?
 
S

susinmn

Вообщем файлы вставляю с помощью File Upload Control

аттачи тображаются снизу формы...можно их перенести в другое место?

если хочу его удалить, то нужно выделять и обновлять документ или сохранить

и как поменять надпись Mark attachments for deletion?
 

Вложения

  • 02.10.jpg
    02.10.jpg
    30,1 КБ · Просмотры: 446
T

turumbay

turumbay сказал(а):
А как обойти - знаю.(или думаю, что знаю )
Нажмите, чтобы раскрыть...
насчет js был не прав, вспылил.
мысли вслух:
содержимое файла придеца получить другим способом.
но это клиентское(браузерное), а не серверное ограничение.
т.е. нету методов запретить мне отправить файл в виде текста и собрать его на сервере. есть некоторые проблемы при использовании для этих целей браузера :)
вопрос - как получить файл на клиенте... но stand-alone приложение или подписанный апплет с этим справятся.
еще можно сабмитить форму на подставной сервер, возвращающий содержимое файла. вопщем фантазии есть где развернуться...
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ