Sto provando a blackbox pentest un sito web, l'URL ha il formato link
Quando si prova a cambiare [valore intero> tra virgolette (doppie e singole), caratteri. Non ha alcun effetto. Tuttavia, quando [valore intero] maggiore di BIGTINT NON REGISTRATO, verrà generato un errore SQL. Vale a dire:
- if 0 < = [intero_intero] < = (BIGTINT NON SEGNALATO, che è 2 ^ 64-1) = > nessun errore
- if [integer_value] > BIGTINT NON ASSOCIATO, errore: per esempio. "Hai un errore nella sintassi SQL, controlla il manuale che corrisponde alla versione del tuo server MySQL per la sintassi corretta da usare vicino a '18446744073709551616' alla riga 1"
Qualche idea?
È sfruttabile?