Sto facendo dei test su un'applicazione web e ho trovato un'iniezione SQL in una stored procedure. È qualcosa del genere:
Stored_procedure [input]
La stored procedure convalida l'input, deve essere un numero intero, ma posso iniettare un'altra frase SQL come questa:
Stored_procedure 1;SELECT CURRENT_USER;
L'applicazione web non mi mostra il risultato della seconda frase SQL, quindi ho provato a eseguire un'iniezione SQL in base al tempo:
Stored_procedure 1;WAITFOR DELAY '00:00:10';
Non ha funzionato, perché l'applicazione web scapi le sigle-quotes, quindi ho cambiato la mia SQL Injection:
Stored_procedure 1;WAITFOR DELAY (CHAR(48)+CHAR(48)+CHAR(58)+CHAR(48)+CHAR(48)+CHAR(58)+CHAR(49)+CHAR(48));
Anche questo non ha funzionato, genera un errore. Potresti aiutarti a capire perché non funziona o come posso sfruttarlo?