Questa è una traccia di stack o Sql Injection?

0

Ieri ho postato una domanda sulla possibilità di eseguire un'iniezione SQL con il seguente codice di errore:

httpStatus":400,"errorCode":"BAD_QUERY_PARAMETER","message":"java.lang.NumberFormatException: For input string: \"'\"","implementationDetails":"com.sun.jersey.api.ParamException$QueryParamException: java.lang.NumberFormatException: For input string: \"'\"\n\tat com.sun.jersey.server.impl.model.parameter.QueryParamInjectableProvider$QueryParamInjectable.getValue(QueryParamInjectableProvider.java:74)

La cosa strana è che, ho risposto che mi era stato utile perché attraverso un altro payload che ho fatto, ho ricevuto un altro errore, qualcosa del tipo:

Malformed escape pair at index 30: /app/view/products/view.html?language=EN&id=_PAYLOAD_&port=50000

Ma non ero in grado di iniettare il database, quindi, questo è un errore di tipo stack trace? Apprezzerei le tue risposte ...

    
posta user152754 07.07.2017 - 20:07
fonte

1 risposta

1

L'output è una traccia dello stack e sembra che il parametro corrente che si sta testando non sia vulnerabile all'iniezione SQL. Non è chiaro se l'applicazione è vulnerabile all'iniezione SQL o meno.

Una traccia dello stack è semplicemente un elenco di dove si è verificata un'eccezione nel callstack del processo. Nel tuo caso, è una "java.lang.NumberFormatException" Ciò significa che l'applicazione non può eseguire il cast della stringa di input (una virgoletta singola, in questo caso) come un numero.

Quando ti imbatti in eccezioni del genere, prova a cercarle su google. Troverai spesso molte informazioni. Ad esempio, ho visualizzato il messaggio di errore com.sun.jersey.api.ParamException $ QueryParamException e ho scoperto che l'applicazione utilizza una struttura RESTful denominata Jersey. Verificare se è possibile trovare la documentazione api per il messaggio di errore e verificare se il Param di cui sta parlando si riferisce a SQL parametrizzato o se si riferisce solo a un parametro stringa di query.

    
risposta data 07.07.2017 - 22:37
fonte

Leggi altre domande sui tag