Sto usando la versione gratuita di Burp Suite
e la CO2
-Estensione per gli attacchi di SQL injection.
L'utilizzo dell'estensione ti offre due possibili modi di attaccare:
- O copi il comando che viene generato facendo clic sulle opzioni disponibili e incollalo nella riga di comando, oppure
- si esegue il comando direttamente dalla GUI.
Tuttavia c'è qualcosa che non ho capito. L'esecuzione delle istruzioni SQL direttamente dalla GUI non viene registrata dal listener del proxy http. Perché?
Ho scritto la mia propria estensione che manipola alcune posizioni in tutte le richieste in uscita, ma in questo caso non riesco a trovare alcuna richiesta in uscita.