Estoy usando la versión gratuita de Burp Suite
y la extensión CO2
para ataques de inyección de SQL.
El uso de la extensión le ofrece dos posibles formas de ataque:
- Puede copiar el comando que se genera al hacer clic en las opciones disponibles y pegarlo en la línea de comandos, o
- ejecuta el comando directamente desde la GUI.
Sin embargo hay algo que no he entendido. La ejecución de las sentencias de SQL directamente desde la GUI no es registrada por el escucha del proxy http. ¿Por qué?
Escribí mi propia extensión que manipula algunas posiciones en todas las solicitudes salientes, pero en este caso no puedo encontrar ninguna solicitud saliente.