web-dev-qa-db-ja.com

SQLMAPインジェクションポイント

作成したカスタムアプリでSQLMAPのテストに忙しいのですが、SQLMAPが挿入ポイントを検出していません。

たとえば、http://127.0.0.1/index.php?id=10-1id=9のコンテンツを表示します。ただし、SQLMAPは?idの下の挿入ポイントを検出していません。

誰かがそのような注入ポイントをうまく利用しましたか?

sql-injectionsqlmap
2
Noob

  • URLにSQLインジェクションスニペ​​ットが含まれていないことを確認してください。 URLは有効である必要があります。また、次のようにパラメータで*を使用してみてください:http://mysite.com/test.php?id=*

  • リクエストがPOSTではなく有効なGETリクエストであることを確認してください。それらを混合すると、ターゲットを逃す可能性があります。

  • げっぷなどから保存したインターセプトされたリクエストで-rフラグを使用してみてください。このようにして、重要なものを見逃していないことがわかります。 POSTメソッドリクエストをテストする場合は、これを行います。
2
Robert

*idパラメータの後。それは間違いなく動作します。

0
Utkarsh Agrawal