Vega dice inyección SQL, SQL Map no encuentra nada

0

He estado probando con lápiz nuestro sitio web y Vega me indicó una inyección de SQL en nuestro formulario de inicio de sesión. Intenté usar burpsuite y sql map para probar la inyección. Aunque no he llegado a ninguna parte.

Esto es lo que dice vega.

SQL Injection
Classification
Input Validation Error
Resource
https://connect.website.com/customer/account/https:/connect.website.com/customer/account/loginPost
Parameter
form_key
Method
POST
Detection Type
Blind Timing Analysis Checks
Risk
High
REQUEST

POST /customer/account/https:/connect.website.com/customer/account/loginPost/ [form_key=1 AND SLEEP(30) -- login[username]=Joey login[password]=vega send=1 ]

Aquí está el comando sqlmap que estoy usando desde burpsuite con el complemento incorporado en sqlmap.

 sqlmap.py -u "https://connect.website.com:443/customer/account/loginPost/referer/aHR0cHM6Ly9jb25uZWN0LmNhcmxzdGFyZ3JvdXAuY29tL2N1c3RvbWVyL2FjY291bnQvaW5kZXgv/" 
--data="form_key=7Nuz4k1gNhKeA8TI&login%5Busername%5D=i%40ia.com&login%5Bpassword%5D=Man012&send=1" 
--method="PUT" 
--cookie="__utma=127784223.1809202726.1518887522.1518887522.1518928782.2; __utmc=127784223; __utmz=127784223.1518887522.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); frontend=6t1etlnb7l1ts01hkdt5dgafu5; frontend_cid=TnFuGP6n3JvalznN; __utmb=127784223.3.10.1518928782; __utmt=1" 
--user-agent="Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0" 
--referer="https://connect.website.com/customer/account/login/referer/aHR0cHM6Ly9jb25uZWN0LmNhcmxzdGFyZ3JvdXAuY29tL2N1c3RvbWVyL2FjY291bnQvaW5kZXgv/" 
--delay=0 --timeout=30 --retries=0 --dbms="MySQL" 
--os=Linux --level=3 --risk=3 --threads=1 --time-sec=15 
-b --batch --answers="crack=N,dict=N"

Solo una actualización, repito la exploración de Vega y encontré más inyecciones de SQL pero en realidad en una página diferente. Mismo tipo de análisis de tiempo ciego. Parece no ser realmente vulnerable en base a mis pruebas con burpsuite pero esto está un poco por encima de mi cabeza.

    
pregunta Logan 18.02.2018 - 21:28
fuente

0 respuestas

Lea otras preguntas en las etiquetas