Hello there, ('ω')ノ

 

久しぶりにWeb Security Academyへ。

Blind SQL injection with time delaysを選択して。

 

 

いきなりアクティブスキャンを。

 

ログを見ているとどこへどのようなペイロードを挿入しているか確認できて。

 

 

 

結果は、下記の通りで。

期待していたSQLインジェクションが発見できず。

 

 

下記のペイロードを挿入してみると。

ちなみにエンコードしても同じで。

　' or pg_sleep(5)--

 

 

遅延は発生せず。

 

 

下記のペイロードはリストになるのですが、一部変更してみると。

遅延が確認できて。

一般的なペイロードリストだけをそのまま使用すると見つけられないのかと。

　' || pg_sleep(5)--

 

 

Best regards, (^^ゞ