Así que me aburrí y decidí meterme en una búsqueda de recompensas por errores. Fui a un sitio web que tiene un programa de recompensas de errores y este sitio web es para descargar aplicaciones. Fui al campo Ingresar un código de tarjeta de regalo y lo apunté en Intruder en Burp Suite. Cargué una lista de cargas útiles que contienen cadenas comunes Inyección SQL y la quinta línea tuvo una respuesta interesante.
"Esto actualizará el saldo de xxxxx"
Un poco sorprendido de que funcionara, copié la cadena y la ingresé manualmente en el campo del sitio web y obtuve la respuesta en mi navegador. Por supuesto, recibí el mismo mensaje y cuando hice clic en " Actualizar saldo ", dijo que era un código incorrecto.
La cadena de inyección SQL: PHPX+AND+1=1+AND+XX=X
¿Cómo puede ser explotado con la información dada? ¿Se puede explotar o es solo un error lógico?
Cualquier información o consejo sería muy apreciado.