こんにちは私はログインフォームでSQLインジェクションをしようとしています。使用SQLMAP - 本文としてJSONデータを投稿
POST /xxxx/web/Login HTTP/1.1
Host: 10.0.0.70:42020
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: application/json, text/plain, */*
Accept-Language: it-IT,it;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/json
Referer: http://xxxxxx.com/xxxxxx/
Content-Length: 44
origin: http://xxxxx.com
Connection: close
{"username”:"user",”password”:"pass"}
::(requestFileはげっぷを傍受要求の内容です)
sqlmap -u requestFile
SQLMAPを見つけることができませんBurpSuiteで
は私がリクエストを傍受します注射可能なフィールドはパスワードです。私はパスワード私は、入力としてならば、それは、注射原因だと確信しています:
{"username”:*,”password”:*}
が、無:
' OR 1=1; -- -
私は
はとも試み挿入し、すべてのユーザ名でログインすることができます運。
私は間違っていますか?
それは私が閉じるために投票しないよmiddlegroundのようなものだとして、この質問はhttp://security.stackexchange.com/に適しことができるが、ここに。あなたはおそらくそこにもっと答えを得るだろう。 –
また、[security.stackexchange.com](http://security.stackexchange.com/)にも投稿されています。 – ronIDX