Implementé un pequeño sitio web para propósitos de pruebas de penetración utilizando el marco de trabajo de Vaadin. Tengo una base de datos MySQL que se ejecuta en segundo plano, así como un servidor Jetty.
El sitio web es vulnerable a los ataques de inyección manual de SQL. Pero cuando quiero usar una herramienta poderosa como sqlmap
no puedo encontrar ninguna vulnerabilidad. La razón principal es que la url de mi sitio web no contiene parámetros inyectables. En su lugar recibo el siguiente mensaje:
!main/test: event not found
¿Cómo puedo cambiar la URL para que sea vulnerable?
http://localhost:8080/#!main/text