Domanda Dove inserire la script per l'SQL INJECTION?

Ordina per data Ordina commenti per reazioni
C

Cosino

Utente Iron
29 Marzo 2023
7
2
1
8
Salve a tutti, ho deciso di comprare il volume 2 di hacklog "web hacking", per cercare di entrare in questo fantastico mondo. Stavo facendo l'SQL INJECTION livello medium, quando nella parte in cui ti spiega dove vanno messi gli script di injects seguo i passaggi tasto_destro>ispeziona, stavo cercando la riga corretta ma non la trovo, il codice più simile che io abbia trovato è il seguente <input type="text" id="username" name="username" placeholder="Email o Username">.

Grazie per l'attenzione e buona giornata.
 
Ti consiglio di postare anche il codice della pagina HTML in modo tale che chiunque, anche chi non ha il libro, possa cercare di aiutarti.

Da quel che ho visto devi cercare una combobox all'interno della pagina. In HTML le combobox hanno questo formato
HTML: 
<select id="cars">
  <option value="car1">Volvo</option>
  <option value="car2">Saab</option>
  <option value="car3">Opel</option>
  <option value="car4">Audi</option>
</select>
dove value="car4" indica il vero valore che verrà inviato al server (in questo caso quindi "car4") mentre Audi è solo il valore mostrato a schermo.

Se vuoi sfruttare una SQL Injection devi quindi andare a modificare il valore che verrà inviato al server. Ti consiglio comunque di far passare le richieste da un proxy (come burpsuite, ad esempio), in modo da identificare con più facilità i parametri inviati al server e avere comunque più comodità rispetto alla console del browser
 
  • Mi piace
Reazioni: LinuxUser
0xbro ha detto:
Ti consiglio di postare anche il codice della pagina HTML in modo tale che chiunque, anche chi non ha il libro, possa cercare di aiutarti.

Da quel che ho visto devi cercare una combobox all'interno della pagina. In HTML le combobox hanno questo formato
HTML: 
<select id="cars">
  <option value="car1">Volvo</option>
  <option value="car2">Saab</option>
  <option value="car3">Opel</option>
  <option value="car4">Audi</option>
</select>
dove value="car4" indica il vero valore che verrà inviato al server (in questo caso quindi "car4") mentre Audi è solo il valore mostrato a schermo.

Se vuoi sfruttare una SQL Injection devi quindi andare a modificare il valore che verrà inviato al server. Ti consiglio comunque di far passare le richieste da un proxy (come burpsuite, ad esempio), in modo da identificare con più facilità i parametri inviati al server e avere comunque più comodità rispetto alla console del browser
Clicca per espandere...
Grazie mille
 

DISCUSSIONI SIMILI

N
Discussione Process Hollowing + Process Injection con Python su Windows (davvero?)
  • 0
  • 284
0
284
Advanced Hacking
Netcat
Top Bottom
Indietro