Utilizziamo la versione cloud di netsparker La scorsa settimana, durante la scansione di netsparker, rileva le vulnerabilità di Injection SQL.
Tuttavia sono sorpreso dal fatto che l'interrogazione dell'iniezione ha generato un errore per la trasmissione e lo scanner ha estratto le informazioni sulla versione del server SQL.
microsoft sql server 2012 (sp3) (kb3072779) - 11.0.6020.0 (x64)
oct 20 2015 15:36:27
copyright (c) microsoft corporation
web edition (64-bit) on windows nt 6.3 <x64> (build 9600: ) (hypervisor)
Stringa usata per l'iniezione
'AND 1=cast(0x5f21403264696c656d6d61 as varchar(8000)) or '1'='
Quando il modulo inviato nel server di risposta genera un errore per il cast come sotto.
Conversion failed when converting the varchar value '_!@2dilemma' to data type int.
Poi ho provato a cercare sul Web e ho trovato i collegamenti seguenti, ma non ho informazioni su come estrarre i dati.