OWASP zap SQLi

[Rook]

Всем доброго дня. Прошу вас дать мне подсказку или помочь решить мой вопрос. С помощью Zap,просканировав сайт,он нашел много sql инъекций,но jSQL говорит что такой инъекции нет. Так как быть тогда?

 

[robdollard]

Всем доброго дня. Прошу вас дать мне подсказку или помочь решить мой вопрос. С помощью Zap,просканировав сайт,он нашел много sql инъекций,но jSQL говорит что такой инъекции нет. Так как быть тогда?

Может ее действительно нет? А ты получил от него false positive.

 

[Rook]

Может ее действительно нет? А ты получил от него false positive.

А как распознать ее? В основном там в атаке пишется через &query='1=1 --

 

[robdollard]

А как распознать ее? В основном там в атаке пишется через &query='1=1 --

sqlmap -u "host" --level 5 --risk 3 ну а там увидишь что и как, может там WAF подключишь тамперы, или ручками раскрутишь

 

[Rook]

sqlmap -u "host" --level 5 --risk 3 ну а там увидишь что и как, может там WAF подключишь тамперы, или ручками раскрутишь

Спасибо за помощь
UPD
Т.е нужно вставать полностью ссылку с запа в sqlmap 'host' то что вы написали?

 

[robdollard]

Спасибо за помощь
UPD
Т.е нужно вставать полностью ссылку с запа в sqlmap 'host' то что вы написали?