ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
16.08.2016, 07:14
|
|
Guest
Сообщений: n/a
Провел на форуме:
65956
Репутация:
0
|
|
Подскажите как искать бурпом sql иньекции только в ПОСТ запросах
|
|
|
|
17.08.2016, 12:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
11384
Репутация:
17
|
|
Сообщение от .Light.
.Light. said:
↑
Подскажите как искать бурпом sql иньекции только в ПОСТ запросах Никак. Скули надо искать руками.
|
|
|
|
17.08.2016, 13:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
5905
Репутация:
11
|
|
Сообщение от DarkCaT
DarkCaT said:
↑
Никак. Скули надо искать руками. или самописанными фазерами)
Хотя руками намного точнее.
|
|
|
|
17.08.2016, 16:37
|
|
Guest
Сообщений: n/a
Провел на форуме:
221894
Репутация:
151
|
|
Можно через intruder, но там минимум payloads, но как сказала DarkCat лучше всего научится руками это делать.
|
|
|
|
17.08.2016, 18:18
|
|
Guest
Сообщений: n/a
Провел на форуме:
91312
Репутация:
12
|
|
Сообщение от oliday
oliday said:
↑
или самописанными фазерами)
Хотя руками намного точнее. объясни как это руками, если у тебя 1000 параметров?
|
|
|
|
17.08.2016, 23:24
|
|
Guest
Сообщений: n/a
Провел на форуме:
5905
Репутация:
11
|
|
Сообщение от user6334
user6334 said:
↑
объясни как это руками, если у тебя 1000 параметров? Нужно предположить, какие из этих 1000 параметров передаются в бд.
|
|
|
|
18.08.2016, 02:22
|
|
Guest
Сообщений: n/a
Провел на форуме:
1069
Репутация:
0
|
|
ленивый способ: копируешь тело запроса в файл 'post_request.txt', далее $ sqlmap -r post_request.txt другие_твои_параметры
|
|
|
|
19.08.2016, 14:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
11384
Репутация:
17
|
|
Сообщение от ko0wy
ko0wy said:
↑
ленивый способ: копируешь тело запроса в файл 'post_request.txt', далее $ sqlmap -r post_request.txt другие_твои_параметры Я конечно всё понимаю, но причём тут Бёрп ?) Помощи просили ведь именно с ним.
|
|
|
|
27.08.2016, 23:26
|
|
Guest
Сообщений: n/a
Провел на форуме:
1069
Репутация:
0
|
|
Сообщение от DarkCaT
DarkCaT said:
↑
Я конечно всё понимаю, но причём тут Бёрп ?) Помощи просили ведь именно с ним. кажется не всё понимаешь)
|
|
|
|
29.08.2016, 11:53
|
|
Guest
Сообщений: n/a
Провел на форуме:
2076
Репутация:
1
|
|
В настройках сканера Burp (Вкладка Sacaner -> Options) сними галочку "URL parameter value"
Затем во вкладке Target или Proxy правой кнопкой по любому запросу "Do an active Scan"
P.S. Еще ни разу на моей практике не смог заставить sqlmap найти инъекции, которые не находились через Burp, Acnx, Sparker, а вот обратных ситуаций - полно, когда Burp находит инъекцию, отдаешь этот запрос sqlmap - нифига. И только танцы с бубном вокруг *, tamper, prefix, suffix помогают ему раскрутить ее.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
