Ho implementato un piccolo sito Web per scopi di test di penetrazione utilizzando il framework Vaadin. Ho un database MySQL in esecuzione in background e un server Jetty.
Il sito Web è vulnerabile agli attacchi manuali di SQL injection. Ma quando voglio usare un potente strumento come sqlmap
non riesco a trovare nessuna vulnerabilità. Il motivo principale è che l'URL del mio sito Web non contiene parametri parametrici iniettabili. Invece ottengo il seguente messaggio:
!main/test: event not found
Come posso modificare l'URL in modo che sia vulnerabile?
http://localhost:8080/#!main/text