sql injection

Привет всем читающим. Столкнулся с проблемой в изучение, что как таковых практических заданий я не нашел по обходу WAS OWASP Injections. Изучаю базовые уязвимости я на portswigger, про waf там говорят базовые вещи. Но хотелось более углубленно изучить эту тему. Поэтому я буду очень благодарен...

Не получатся вытащить данные из таблицы через sql injection, GROUP_CONCAT вытаскивает не все данные (только 1024 символов )? как слит данные из таблиц целиком.

В sql injection не запускается php script (-12 union all select 1,0x3c3f70687020706870696e666f28293a3f3e,3,4,5-- -) (-12 union all select 1,<?php phpinfo();?>,3,4,5-- -). Пользователь root@localhost, есть доступ к чтению и запись. на странице не отображается результат, если посмотреть исходный...

Предположим у меня есть сайт по видео редактированию. Чтобы пользоваться услугами без ограничений нужно приобрести подписку за n=сумму. 1.Может ли злоумышленник сделать обход авторизации с SQL инъекции и не оплачивая пользоваться ими? 2.Как защититься и как могут атаковать такие сервисы?

привет всем я уже со вчеравншенего дня немогу найти плиз помогите как инжектировать любой сайт чтобы потом можно было скопировать сылку и проверить то есть сделать сканер и получить урл с инекцированной сылкой вот как здесь к примеру You must be registered for see element. типа того плиз помогите

Коллеги, приветствую! Есть уязвимый параметр в кукисах, при вводе Cookie: privatkey=privatkey выдается таблица вида: { "id": 1, "user": "name" } при любом другом параметре privatkey=, выдается сообщение - "Wrong request. Use JSON". Других параметров кукисов нет. Собственно, поможите люди...

нашел уязвимое место, но не могу понять какой оригинальный запрос на беке выводит 10 записей (вижу не свои) ?search=-")+or+1=1+limit+10--+- хочу узнать количество колонок. при order by 1 ошибки нет, при order by 2 есть ошибка (к сожалению не сырая ошибка базы а человекочитабельная) тут очень...

Всем привет, есть вопрос по sqlmap При скане url sqlmap выводит это: [INFO] heuristic (basic) test shows that GET parameter 'page' might be injectable Но в итоге ничего не находит: [CRITICAL] all tested parameters do not appear to be injectable. Сканил с level 5 и risk 3 Вопрос: как часто...

Здравствуйте, недавно появилась проблема следующего характера. Знакомый показал страницу на сайте поиска куртизанок в моем городе. Там несколько фото моей сестры, взятые с одноклассников и номер телефона принадлежащий к другому региону. Указан наш город и соседний район города. Так или иначе...

Здаров народ. дал мне значит друг (владелец сайта) сайт на проверку и говорит, найди уязвимость. ну я сразу начал копать смотреть ошибки sql на всяких ?id= . руками нашел, указал ссылку в sqlmap и запустил ввиде: sqlmap -u "www.example.com/?id=1212121221" --is-dba --users --passwords --is-dba...

Была найдена sql-инъекция в админке сайта, но при выводе списка баз данных (--dbs в sqlmap) я вижу множество баз. Сайт крупный , то есть со множеством поддоменов. Как узнать из какой именно БД берет пароль админка, которую я нашел?

You must be registered for see element. Добрый день,Уважаемые Жители Форума,Друзья и Читатели. В эти выходные довелось провести тест одного ресурса. Как-то убежал из вида при этом интересный инструмент для проведения pentest. Восполняю пробел,так сказать. Создал софт Lucifer1993 - это мощная...

Привет всем, уважаемое сообщество! Пытаюсь раскрутить SQL запрос. В итоге, на этапе Всё отдаёт и никаких проблем. Как только пытаюсь получить список таблиц, от сервера не приходит вообще никакого ответа. Да, я понимаю, не всегда удаётся получить доступ к INFORMATION_SCHEMA. Брутить совсем не...

Статьи You must be registered for see element. You must be registered for see element. You must be registered for see element. You must be registered for see element. You must be registered for see element. You must be registered for see element. You must be registered for see element. You must...

Добрый вечер, Есть собственно говоря Web Api принимающие/отдающие json как можно их протестировать с помощью sqlmap на наличие sql-injection?

You must be registered for see element. Всем привет, Codeby! Предыдущая часть: You must be registered for see element. Подробный гайд, который часто просят новички. Разберём классический сценарий — эксплуатация SQL-инъекции с помощью связки SQLMap + Hashcat. Пройдём весь путь от получения...

You must be registered for see element. От основ до обхода WAF и защиты. Актуальный гайд на 2025 год. Sqlmap — это не просто инструмент. Это швейцарский нож пентестера, который превращает рутинный поиск SQL-инъекций в автоматизированный процесс, вплоть до полного захвата сервера. Старые гайды по...

Здравствуйте. Тестирую один небольшой сайт. И есть проблема с заливкой шелла. Эксплуатировал инъекцию boolean-based blind. В sqlmap выполнил --is-dba - результат TRUE. Проверил под каким пользователем зашел в mysql - результат root. Проверил права пользователя - права полные: Так же проверил...

Добрый день! При работе с sqlmap, мне выдало следующее: Parameter: id (GET) Type: boolean-based blind Title: AND boolean-based blind - WHERE or HAVING clause Payload: id=56' AND 3243=3243 AND 'VvcY'='VvcY Type: AND/OR time-based blind Title: MySQL <= 5.0.11 AND time-based...

Здравствуйте. Прошу подсказать, помочь найти, массовый сканнер на sql уязвимости на Kali Linux. Обязательно должен принимать список сайтов с txt или просто с clipboard. Желательно что бы проверял на разные виды sql и имел хорошую скорость проверки. Перепробовал уже довольно много разных, но пока...