Domande con tag 'sql-injection'

domande con tag
1
risposta

Come funziona questa unica iniezione SQL?

Ho trovato una sfida che era vulnerabile all'iniezione SQL ed è stato molto molto difficile da trovare Quindi, come funziona questo SQL univoco? L'ho trovato sul modulo di login in cui quando invio user=\&pass=||1# come payload ho ot...
posta 29.08.2018 - 05:55
0
risposte

Come utilizzare la ricerca binaria per query di SQL injection cieche

Da quanto ho letto online, è possibile applicare la ricerca binaria per sfruttare le vulnerabilità cieche di SQL injection, e questo è probabilmente quello che strumenti come sqlmap usano per ridurre il numero di query che devono essere inviate...
posta 17.08.2018 - 14:57
1
risposta

Quanto è facile creare una banca / carta d'identità malevole?

Recentemente ho ricevuto un lettore di schede magnetiche che si collega al mio computer perché ero annoiato. Ho deciso di scansionare il mio documento di identità e la carta di credito e sono rimasto sorpreso nel vedere il mio numero di identifi...
posta 22.04.2014 - 16:04
3
risposte

Come sconfiggere raddoppiando gli apostrofi per creare un attacco SQLi?

Conosco alcuni sviluppatori che raddoppiano gli apostrofi per mitigare SQLi. (Questo è quando l'input è "così diventa") C'è un modo per batterlo? Questo è su MS SQl Server.     
posta 18.12.2015 - 10:35
0
risposte

Da SQL Injection in SQLite alla shell

Ho bisogno di ottenere una shell da un'iniezione SQL su un'applicazione con database SQLite. Attualmente il mio exploit ha il seguente aspetto: lucian@0x90:~/$ proxychains nc 10.185.10.55 1101 ProxyChains-3.1 (http://proxychains.sf.net) |S-...
posta 07.08.2018 - 16:18
2
risposte

Utilizzo di virgolette singole o doppie per impedire XSS e SQLi?

Perché è consigliabile inserire virgolette singole o doppie attorno ai valori degli attributi HTML? Si raccomanda di prevenire l'XSS, ma perché? Lo stesso vale per l'iniezione SQL: si consiglia di utilizzare virgolette singole o doppie durant...
posta 08.08.2018 - 11:26
0
risposte

DVWA non può essere iniettato con SQLMAP [id non è iniettabile]

Sto cercando di catturare gli attacchi SQL Injection da DVWA con sqlmap , sto usando l'opzione più semplice che fornisce, ma è strano che a volte funzioni e altri no, mostrando un messaggio simile a: ...parameter 'X' does not seem to be in...
posta 21.05.2018 - 10:12
1
risposta

bWAPP- SQL injection Hack visualizza uno schermo bianco?

Ho seguito questo video ( link ) per installare bWAPP su Parrot OS e tutto funziona bene tranne SQL Injection. Ho controllato il database e il suo attivo. Come puoi vedere: EquandoselezionoSQLInjection(GET/Search)mostrasolounoschermobiancovu...
posta 01.09.2018 - 09:37
0
risposte

Script di manomissione di codifica URL singolo e doppio e sqlmap

Sto cercando di capire come funzionano gli script di manomissione sqlmap e quando ognuno di essi è in grado di aggirare certi filtri personalizzati. Nel seguente codice dopo che il parametro POST è stato filtrato per stringhe come select ,...
posta 11.05.2018 - 07:56
0
risposte

Blackbox SQLi: MySql "errore nella sintassi SQL" quando più grande "UNSIGNED BIGINT"

Sto provando a blackbox pentest un sito web, l'URL ha il formato link Quando si prova a cambiare [valore intero> tra virgolette (doppie e singole), caratteri. Non ha alcun effetto. Tuttavia, quando [valore intero] maggiore di BIGTINT NON RE...
posta 09.06.2018 - 05:48