Questa è una traccia di stack o Sql Injection?

Question

Questa è una traccia di stack o Sql Injection?

#1 da (1 voti)

0

Ieri ho postato una domanda sulla possibilità di eseguire un'iniezione SQL con il seguente codice di errore:

httpStatus":400,"errorCode":"BAD_QUERY_PARAMETER","message":"java.lang.NumberFormatException: For input string: \"'\"","implementationDetails":"com.sun.jersey.api.ParamException$QueryParamException: java.lang.NumberFormatException: For input string: \"'\"\n\tat com.sun.jersey.server.impl.model.parameter.QueryParamInjectableProvider$QueryParamInjectable.getValue(QueryParamInjectableProvider.java:74)

La cosa strana è che, ho risposto che mi era stato utile perché attraverso un altro payload che ho fatto, ho ricevuto un altro errore, qualcosa del tipo:

Malformed escape pair at index 30: /app/view/products/view.html?language=EN&id=_PAYLOAD_&port=50000

Ma non ero in grado di iniettare il database, quindi, questo è un errore di tipo stack trace? Apprezzerei le tue risposte ...

java sql-injection injection sqlmap

posta user152754 07.07.2017 - 20:07

fonte

1 risposta

Leggi altre domande sui tag java sql-injection injection sqlmap

Reimposta i parametri di input del collegamento password - dove si posiziona? Aiuto! Che cos'è questo takeover / malware remoto da un pop-up e che cosa fa? [duplicare]

score 1 · Answer 1

L'output è una traccia dello stack e sembra che il parametro corrente che si sta testando non sia vulnerabile all'iniezione SQL. Non è chiaro se l'applicazione è vulnerabile all'iniezione SQL o meno.

Una traccia dello stack è semplicemente un elenco di dove si è verificata un'eccezione nel callstack del processo. Nel tuo caso, è una "java.lang.NumberFormatException" Ciò significa che l'applicazione non può eseguire il cast della stringa di input (una virgoletta singola, in questo caso) come un numero.

Quando ti imbatti in eccezioni del genere, prova a cercarle su google. Troverai spesso molte informazioni. Ad esempio, ho visualizzato il messaggio di errore com.sun.jersey.api.ParamException $ QueryParamException e ho scoperto che l'applicazione utilizza una struttura RESTful denominata Jersey. Verificare se è possibile trovare la documentazione api per il messaggio di errore e verificare se il Param di cui sta parlando si riferisce a SQL parametrizzato o se si riferisce solo a un parametro stringa di query.