¿Es posible un vector de ataque? [cerrado]

3

Así que me aburrí y decidí meterme en una búsqueda de recompensas por errores. Fui a un sitio web que tiene un programa de recompensas de errores y este sitio web es para descargar aplicaciones. Fui al campo Ingresar un código de tarjeta de regalo y lo apunté en Intruder en Burp Suite. Cargué una lista de cargas útiles que contienen cadenas comunes Inyección SQL y la quinta línea tuvo una respuesta interesante.

  

"Esto actualizará el saldo de xxxxx"

Un poco sorprendido de que funcionara, copié la cadena y la ingresé manualmente en el campo del sitio web y obtuve la respuesta en mi navegador. Por supuesto, recibí el mismo mensaje y cuando hice clic en " Actualizar saldo ", dijo que era un código incorrecto.

La cadena de inyección SQL: PHPX+AND+1=1+AND+XX=X

¿Cómo puede ser explotado con la información dada? ¿Se puede explotar o es solo un error lógico?

Cualquier información o consejo sería muy apreciado.

    
pregunta Edward Severinsen 02.06.2018 - 05:05
fuente

0 respuestas

Lea otras preguntas en las etiquetas