ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
16.08.2016, 07:14
|
|
Участник форума
Регистрация: 12.07.2010
Сообщений: 190
Провел на форуме:
65956
Репутация:
0
|
|
Подскажите как искать бурпом sql иньекции только в ПОСТ запросах
|
|
|
17.08.2016, 12:33
|
|
Познающий
Регистрация: 14.03.2016
Сообщений: 33
Провел на форуме:
11384
Репутация:
17
|
|
Сообщение от .Light.
↑
Подскажите как искать бурпом sql иньекции только в ПОСТ запросах
Никак. Скули надо искать руками.
|
|
|
|
17.08.2016, 13:57
|
|
Новичок
Регистрация: 06.01.2016
Сообщений: 16
Провел на форуме:
5905
Репутация:
11
|
|
Сообщение от DarkCaT
↑
Никак. Скули надо искать руками.
или самописанными фазерами)
Хотя руками намного точнее.
|
|
|
|
17.08.2016, 16:37
|
|
Постоянный
Регистрация: 21.11.2010
Сообщений: 557
Провел на форуме:
221894
Репутация:
151
|
|
Можно через intruder, но там минимум payloads, но как сказала DarkCat лучше всего научится руками это делать.
|
|
|
|
17.08.2016, 18:18
|
|
Участник форума
Регистрация: 29.06.2015
Сообщений: 296
Провел на форуме:
91312
Репутация:
12
|
|
Сообщение от oliday
↑
или самописанными фазерами)
Хотя руками намного точнее.
объясни как это руками, если у тебя 1000 параметров?
|
|
|
|
17.08.2016, 23:24
|
|
Новичок
Регистрация: 06.01.2016
Сообщений: 16
Провел на форуме:
5905
Репутация:
11
|
|
Сообщение от user6334
↑
объясни как это руками, если у тебя 1000 параметров?
Нужно предположить, какие из этих 1000 параметров передаются в бд.
|
|
|
|
18.08.2016, 02:22
|
|
Новичок
Регистрация: 18.08.2016
Сообщений: 4
Провел на форуме:
1069
Репутация:
0
|
|
ленивый способ: копируешь тело запроса в файл 'post_request.txt', далее $ sqlmap -r post_request.txt другие_твои_параметры
|
|
|
|
19.08.2016, 14:00
|
|
Познающий
Регистрация: 14.03.2016
Сообщений: 33
Провел на форуме:
11384
Репутация:
17
|
|
Сообщение от ko0wy
↑
ленивый способ: копируешь тело запроса в файл 'post_request.txt', далее $ sqlmap -r post_request.txt другие_твои_параметры
Я конечно всё понимаю, но причём тут Бёрп ?) Помощи просили ведь именно с ним.
|
|
|
|
27.08.2016, 23:26
|
|
Новичок
Регистрация: 18.08.2016
Сообщений: 4
Провел на форуме:
1069
Репутация:
0
|
|
Сообщение от DarkCaT
↑
Я конечно всё понимаю, но причём тут Бёрп ?) Помощи просили ведь именно с ним.
кажется не всё понимаешь)
|
|
|
|
29.08.2016, 11:53
|
|
Новичок
Регистрация: 25.08.2016
Сообщений: 6
Провел на форуме:
2076
Репутация:
1
|
|
В настройках сканера Burp (Вкладка Sacaner -> Options) сними галочку "URL parameter value"
Затем во вкладке Target или Proxy правой кнопкой по любому запросу "Do an active Scan"
P.S. Еще ни разу на моей практике не смог заставить sqlmap найти инъекции, которые не находились через Burp, Acnx, Sparker, а вот обратных ситуаций - полно, когда Burp находит инъекцию, отдаешь этот запрос sqlmap - нифига. И только танцы с бубном вокруг *, tamper, prefix, suffix помогают ему раскрутить ее.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
