Hello there,
A1 ⇨ SQL Injection - Stored(XML)を選択して。
まずは、『Any bugs?』ボタンを押して確認を。
いつものBurp Suiteから右クリックで『Send to Repeater』を選択して。
タブを切り替えて。
左側のパラメータを確認したあとに。
『Send』ボタンを実行すると。
右側には、リセットできたというメッセージが。
インジェクション可能かを確かめるために。
『bee』の後ろに『'』を入力して実行。
右側のコメントからいけそうな雰囲気で。
実際に下記で試すことに。
bee' or 1=1 #
さらに下記で試すと。
テーブルが存在することがわかって。
bee' + (select 0 from users) + '
ちなみに存在しないテーブルで実行すると。
右側には存在しないというメッセージが。
bee' + (select 0 from hoge) + '
Best regards,