¿Esto es un seguimiento de pila o una inyección de SQL?

0

Ayer publiqué una pregunta sobre si podría hacer una inyección SQL con el siguiente código de error:

httpStatus":400,"errorCode":"BAD_QUERY_PARAMETER","message":"java.lang.NumberFormatException: For input string: \"'\"","implementationDetails":"com.sun.jersey.api.ParamException$QueryParamException: java.lang.NumberFormatException: For input string: \"'\"\n\tat com.sun.jersey.server.impl.model.parameter.QueryParamInjectableProvider$QueryParamInjectable.getValue(QueryParamInjectableProvider.java:74)

Lo extraño fue que, respondí que había sido útil porque a través de otra carga útil que hice, tuve otro error, algo como:

Malformed escape pair at index 30: /app/view/products/view.html?language=EN&id=_PAYLOAD_&port=50000

Pero no pude inyectar la base de datos, ¿es un error de tipo de seguimiento de pila? Agradecería sus respuestas ...

    
pregunta user152754 07.07.2017 - 20:07
fuente

1 respuesta

1

La salida es un seguimiento de pila, y parece que el parámetro actual que está probando no es vulnerable a la inyección de SQL. No está claro si la aplicación es vulnerable a la inyección de SQL o no.

Un seguimiento de pila es simplemente una lista de dónde ocurrió una excepción en la pila de llamadas del proceso. En su caso, es una "java.lang.NumberFormatException" Eso significa que la aplicación no puede convertir la cadena de entrada (una comilla simple, en este caso) como un número.

Cuando encuentres excepciones como esa, intenta buscarlas en Google. A menudo encontrará una gran cantidad de información. Por ejemplo, busco en Google el mensaje de error com.sun.jersey.api.ParamException $ QueryParamException y descubrí que la aplicación está usando un marco RESTful llamado Jersey. Vea si puede encontrar la documentación de la API para el mensaje de error y vea si el parámetro al que se refiere se refiere al SQL parametrizado, o si solo se refiere a un parámetro de cadena de consulta.

    
respondido por el user52472 07.07.2017 - 22:37
fuente

Lea otras preguntas en las etiquetas