burp помощь

Discussion in 'Песочница' started by .Light., 16 Aug 2016.

  1. .Light.

    .Light. Member

    Joined:
    12 Jul 2010
    Messages:
    195
    Likes Received:
    5
    Reputations:
    0
    Подскажите как искать бурпом sql иньекции только в ПОСТ запросах
     
    #1 .Light., 16 Aug 2016
  2. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    33
    Likes Received:
    13
    Reputations:
    17
    Никак. Скули надо искать руками.
     
    #2 DarkCaT, 17 Aug 2016
    KIR@PRO likes this.
  3. oliday

    oliday Member

    Joined:
    6 Jan 2016
    Messages:
    16
    Likes Received:
    25
    Reputations:
    11
    или самописанными фазерами)
    Хотя руками намного точнее.
     
    #3 oliday, 17 Aug 2016
  4. beginner2010

    beginner2010 Elder - Старейшина

    Joined:
    21 Nov 2010
    Messages:
    558
    Likes Received:
    348
    Reputations:
    151
    Можно через intruder, но там минимум payloads, но как сказала DarkCat лучше всего научится руками это делать.
     
    #4 beginner2010, 17 Aug 2016
  5. user6334

    user6334 Member

    Joined:
    29 Jun 2015
    Messages:
    296
    Likes Received:
    17
    Reputations:
    12
    объясни как это руками, если у тебя 1000 параметров?
     
    #5 user6334, 17 Aug 2016
  6. oliday

    oliday Member

    Joined:
    6 Jan 2016
    Messages:
    16
    Likes Received:
    25
    Reputations:
    11
    Нужно предположить, какие из этих 1000 параметров передаются в бд.
     
    #6 oliday, 17 Aug 2016
  7. ko0wy

    ko0wy New Member

    Joined:
    18 Aug 2016
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    ленивый способ: копируешь тело запроса в файл 'post_request.txt', далее $ sqlmap -r post_request.txt другие_твои_параметры
     
    #7 ko0wy, 18 Aug 2016
  8. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    33
    Likes Received:
    13
    Reputations:
    17
    Я конечно всё понимаю, но причём тут Бёрп ?) Помощи просили ведь именно с ним.
     
    #8 DarkCaT, 19 Aug 2016
    SooLFaa likes this.
  9. ko0wy

    ko0wy New Member

    Joined:
    18 Aug 2016
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    кажется не всё понимаешь)
     
    #9 ko0wy, 27 Aug 2016
  10. emelin

    emelin New Member

    Joined:
    25 Aug 2016
    Messages:
    6
    Likes Received:
    1
    Reputations:
    1
    В настройках сканера Burp (Вкладка Sacaner -> Options) сними галочку "URL parameter value"
    Затем во вкладке Target или Proxy правой кнопкой по любому запросу "Do an active Scan"

    P.S. Еще ни разу на моей практике не смог заставить sqlmap найти инъекции, которые не находились через Burp, Acnx, Sparker, а вот обратных ситуаций - полно, когда Burp находит инъекцию, отдаешь этот запрос sqlmap - нифига. И только танцы с бубном вокруг *, tamper, prefix, suffix помогают ему раскрутить ее.
     
    #10 emelin, 29 Aug 2016
  11. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    33
    Likes Received:
    13
    Reputations:
    17
    sqlmap не предназначен для поиска инъекций. Это скорее инструмент для их раскрутки.
     
    #11 DarkCaT, 31 Aug 2016
    Ruslan1993it likes this.
(You must log in or sign up to post here.)
Loading...
Similar Threads - burp помощь
  1. ilqar200

    нужна помощь в rce в django 2.2.8

    ilqar200, 25 Feb 2023, in forum: Песочница
    Replies:
    0
    Views:
    1,759
    ilqar200
    25 Feb 2023
  2. ilqar200

    нужна помощь в пентестинге внутри хостинга

    ilqar200, 8 Feb 2023, in forum: Песочница
    Replies:
    1
    Views:
    2,328
    fandor9
    7 Mar 2023
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.