Sto verificando un sito web creato con Google Web Toolkit. Utilizza la serializzazione versione 7, quindi gli strumenti di GDS Security non funzioneranno (funzionano solo fino alla versione 5). Usando questa tecnica ho ottenuto tutte le classi, ma non posso deobfuscare i metodi:
Ho identificato un paio di richieste client RPC che possono essere utilizzate per provare l'iniezione SQL. Sono in realtà leggibili dall'uomo, quindi posso identificare i campi inviati e adatti a armeggiare e inserire i carichi utili. Qualcosa come:
POST /mywebapp/auth HTTP/1.1
..
Content-Type: text/x-gwt-rpc; charset=UTF-8
..
7|0|http://192.168.1.1:8888/mywebapp/ ....D031DD0CECD85E06AF1E383A0.gwt.authservice. java.method..|variable1|1|2|3|2...
Voglio essere gentile e utilizzare solo alcuni payload specifici per cercare di ottenere alcune informazioni sul database in esecuzione sul server.
La mia domanda sarebbe, prima di iniziare a provare questi payload, devo codificarli in un modo specifico in modo che vengano analizzati correttamente dal lato server? o non c'è un modo per saperlo e devo solo provare diversi tipi di codifiche?
Sto usando l'intruso di Burpsuite per fare il lavoro, ma sono aperto ad altri strumenti se sono in grado di fare ciò di cui ho bisogno.