sql-injection

Вопрос или проблема Это нормальный запрос к странице входа: LoginForm%5Busername%5D=myuser&LoginForm%5Bpassword%5D=mypass но если мы изменим его на: LoginForm%5Busername%5D[%24testing]=myuser&LoginForm%5Bpassword%5D=mypass то в приложении отображается

Вопрос или проблема После часов проб и ошибок я решил спросить здесь о совете. Сейчас я пытаюсь выполнить sqlinj, используя sqlmap, на системе, которая была специально разработана для атак. API гласит: Метод: GET /users/>user_id<

Вопрос или проблема Недавние отчеты описывают, как новая техника инъекции подсказок использует шестнадцатеричное кодирование для обхода внутренних мер модерации контента в языковых моделях, таких как ChatGPT-4, что позволяет им генерировать код для эксплуатации.

Вопрос или проблема Я разработчик, который заботится о безопасности и хочет улучшить безопасность своего веб-приложения. Я изучал уязвимости, связанные с нарушением авторизации на уровне объектов (BOLA), и хочу убедиться, что моё приложение не подвержено этому виду атаки.

Вопрос или проблема У меня есть этот (упрощенный) запрос к базе данных на Perl, и мне интересно, можно ли его как-то использовать в злоумышленных целях. Это часть задания, поэтому я знаю, что можно сделать иначе, задача заключается в том, чтобы эксплуатировать это.

Вопрос или проблема Я делаю инъекцию: -35' и updatexml(null,concat(0x3a,(0x0a,(select database()))),null)-- - и получаю: Ошибка 1 - Операнд должен содержать 1 столбец(а) Есть идеи, как это исправить? Я пытаюсь получить тип базы данных.

Вопрос или проблема Я хочу выполнить SQL-инъекцию, но не знаю, как использовать команду. Пока я пробовал это: --data="{'user_id':'6','user_with:5*'}" --prefix=" OR user_to = 5)" --suffix="#" -vvv` Я использую ' вместо " в параметре, потому что данные

Вопрос или проблема Я наткнулся на задачу CTF, которая включает часть с SQL-инъекцией (БД MySQL). Я её выполнил, но не понимаю, почему или как работает инъекция. Запрос в PHP-приложении, вероятно, выглядел бы так: SELECT * FROM users WHERE email="[email protected]"

Вопрос или проблема Мне нужна помощь с SQL-инъекцией в API. Веб-сервер IIS 8.5 GET-запрос выглядит так: ... https://example.com/api/Search?q=Landing Ответ выглядит так: HTTP/1.1 200 OK ... [{"pageId":1,"pageName":"Landing Page"}] SQL-запрос, куда я пытался

Вопрос или проблема В чем практические различия между ними? То есть, параметр, который называется “динамическим” и “нединамическим”? Некоторые сайты разработаны с URL-параметрами, которые жестко закодированы.

Вопрос или проблема Как обойти эту глупую защиту от SQL-инъекций? В настоящее время я сталкиваюсь с проблемой SQL-инъекции, связанной с тем, что вводимые данные обрабатываются функцией, которая заменяет все ' на \' и все \ на \\.