burp помощь

Discussion in 'Песочница' started by .Light., 16 Aug 2016.

  1. .Light.

    .Light. New Member

    Joined:
    12 Jul 2010
    Messages:
    232
    Likes Received:
    4
    Reputations:
    0
    Подскажите как искать бурпом sql иньекции только в ПОСТ запросах
     
  2. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    33
    Likes Received:
    13
    Reputations:
    17
    Никак. Скули надо искать руками.
     
    KIR@PRO likes this.
  3. oliday

    oliday Member

    Joined:
    6 Jan 2016
    Messages:
    17
    Likes Received:
    18
    Reputations:
    10
    или самописанными фазерами)
    Хотя руками намного точнее.
     
  4. beginner2010

    beginner2010 Elder - Старейшина

    Joined:
    21 Nov 2010
    Messages:
    595
    Likes Received:
    341
    Reputations:
    151
    Можно через intruder, но там минимум payloads, но как сказала DarkCat лучше всего научится руками это делать.
     
  5. user6334

    user6334 Member

    Joined:
    29 Jun 2015
    Messages:
    297
    Likes Received:
    19
    Reputations:
    12
    объясни как это руками, если у тебя 1000 параметров?
     
  6. oliday

    oliday Member

    Joined:
    6 Jan 2016
    Messages:
    17
    Likes Received:
    18
    Reputations:
    10
    Нужно предположить, какие из этих 1000 параметров передаются в бд.
     
  7. ko0wy

    ko0wy New Member

    Joined:
    18 Aug 2016
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    ленивый способ: копируешь тело запроса в файл 'post_request.txt', далее $ sqlmap -r post_request.txt другие_твои_параметры
     
  8. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    33
    Likes Received:
    13
    Reputations:
    17
    Я конечно всё понимаю, но причём тут Бёрп ?) Помощи просили ведь именно с ним.
     
    SooLFaa likes this.
  9. ko0wy

    ko0wy New Member

    Joined:
    18 Aug 2016
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    кажется не всё понимаешь)
     
  10. emelin

    emelin New Member

    Joined:
    25 Aug 2016
    Messages:
    6
    Likes Received:
    1
    Reputations:
    1
    В настройках сканера Burp (Вкладка Sacaner -> Options) сними галочку "URL parameter value"
    Затем во вкладке Target или Proxy правой кнопкой по любому запросу "Do an active Scan"

    P.S. Еще ни разу на моей практике не смог заставить sqlmap найти инъекции, которые не находились через Burp, Acnx, Sparker, а вот обратных ситуаций - полно, когда Burp находит инъекцию, отдаешь этот запрос sqlmap - нифига. И только танцы с бубном вокруг *, tamper, prefix, suffix помогают ему раскрутить ее.
     
  11. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    33
    Likes Received:
    13
    Reputations:
    17
    sqlmap не предназначен для поиска инъекций. Это скорее инструмент для их раскрутки.
     
    Ruslan1993it likes this.
Loading...