Shikata Ga Nai

Private? There is no such things.

2021-02-21から1日間の記事一覧

SQL injection UNION attack, finding a column containing textをやってみた

Hello there, ('ω')ノ SQLインジェクションUNION攻撃でテキストを含む列の検索を。 前回に続き、今回はデータ型の模索を。 Petsカテゴリを選択して。 インターセプトして、リピータへ。 まずは、データのカラム数の確認から。 GET /filter?category=Pets'+UN…

SQL injection UNION attack, determining the number of columns returned by the queryをやってみた

Hello there, ('ω')ノ SQLインジェクションのUNION攻撃で、クエリで返される列の数を。 クエリの結果は、アプリケーションの応答で返されるので。 クエリで返される列の数がわかって。 そのためには、UNIONでnull値を追加していって。 まずは、Petsカテゴリ…