inyección SQL con una URL separada con guiones

Question

inyección SQL con una URL separada con guiones

#1 de Denis (1 votos)

1

He usado sqlmap desde hace mucho tiempo. Me he encontrado con este patrón de url. http://www.example.com/parameter-somethingid01-anotherthingid023

Cuando el parámetro es prescindible significa que no importa si está disponible o no. http://www.example.com/somethingid01-anotherthingid023 es el mismo que el de arriba

si cambias somethingid01 a somethingid012 u otro id, te llevará a un recurso diferente que también se aplica a anotherthingid .

Mi pregunta es ¿cómo le voy a decir a sqlmap que ataque este tipo de URL?

url sql-injection sqlmap

pregunta Duplicator 03.06.2015 - 09:05

fuente

1 respuesta

Lea otras preguntas en las etiquetas url sql-injection sqlmap

Significado de muchos inicios de sesión fallidos en mi sitio web Inicie sesión desde una aplicación de escritorio a una aplicación web

score 1 · Answer 1

Tal como se describe en el manual de sqlmap en la página de sqlmap GitHub ( enlace ) usted puede insertar un asterisco en el lugar donde sqlmap debería inyectar las cargas útiles si ese lugar está en el URI.

Eso significa:
Si desea que sqlmap reemplace somethingid01 con la carga útil que le daría a su url como:

sqlmap -u "http://www.example.com/*-anotherthingid023"

Si desea que sqlmap escanee ambos parámetros, también tiene que reemplazar el segundo:

sqlmap -u "http://www.example.com/*-*"