作成したカスタムアプリでSQLMAPのテストに忙しいのですが、SQLMAPが挿入ポイントを検出していません。
たとえば、http://127.0.0.1/index.php?id=10-1
はid=9
のコンテンツを表示します。ただし、SQLMAPは?id
の下の挿入ポイントを検出していません。
誰かがそのような注入ポイントをうまく利用しましたか?
URLにSQLインジェクションスニペットが含まれていないことを確認してください。 URLは有効である必要があります。また、次のようにパラメータで*
を使用してみてください:http://mysite.com/test.php?id=*
リクエストがPOSTではなく有効なGETリクエストであることを確認してください。それらを混合すると、ターゲットを逃す可能性があります。
*
id
パラメータの後。それは間違いなく動作します。