Quindi ero annoiato e ho deciso di entrare in qualche caccia alle taglie bug. Sono andato su un sito web che ha un programma di bug bug e questo sito è per il download di app. Sono entrato nel campo del codice della carta regalo e l'ho indirizzato in Intruder in Burp Suite. Caricato un elenco di payload contenenti stringhe SQL Injection comuni e la quinta riga ha avuto una risposta interessante.
"This will update the balance for xxxxx"
Tipo di sorpresa ha funzionato Ho copiato la stringa e l'ho inserita manualmente nel campo sul sito web e ho ottenuto la risposta nel mio browser. Sicuramente ho ricevuto lo stesso prompt e quando ho fatto clic su " Bilancio di aggiornamento " abbiamo detto che era un codice errato.
La stringa SQL Injection: PHPX+AND+1=1+AND+XX=X
Come può essere sfruttato con le informazioni fornite? Può essere sfruttato o è solo un errore logico?
Qualsiasi informazione o consiglio sarebbe molto apprezzato.