Estoy trabajando en algo de seguridad para un sitio web que está construido en ASP clásico y MS SQL 2000.
He encontrado con éxito un par de formularios defectuosos que permitieron las inyecciones de SQL a través de los campos del formulario utilizando Sqlmap con los siguientes comandos:
python sqlmap.py -u "URL TO FORM" --forms --level=5 --risk=3 --batch
python sqlmap.py -u "URL TO FORM" --forms --dbs --level=5 --risk=3 --batch
Ahora estoy intentando verificar otro formulario que usa el tipo de codificación multipart / form-data.
Sqlmap no puede inyectar nada en este formulario, pero como está usando un tipo de codificación diferente, no sé si es por el tipo de codificación o porque Sqlmap no puede manejar este tipo de formulario.
El formulario utiliza consultas concatenadas, por lo que en mi opinión no debería ser seguro, pero el resultado de Sqlmap me ha arrojado un poco.
¿Alguien sabe si tengo que usar un comando diferente en este tipo de formulario o no se puede usar Sqlmap aquí?
Sólo una actualización rápida. Este es el mensaje que recibí de Sqlmap:
[WARNING] heuristic (basic) test shows that (custom) POST parameter 'MULTIPART #1*' might not be injectable
Luego continúa realizando las pruebas hasta que comienza de nuevo con:
[WARNING] heuristic (basic) test shows that (custom) POST parameter 'MULTIPART #2*' might not be injectable