Результаты поиска

Всех приветствую и заранее благодарю за то, что решили выделить несколько минут и ознакомиться с моим мнением о курсе WAPT. Отзывов о прохождении данного курса уже накопилось немало, поэтому постараюсь описать вкратце свой путь. Надеюсь, кому-то он покажется интересным, а кому-то поможет...

1. Тот же sqlmap может определить WAF , но что конкретно фильтруется - это уже нужно проверить руками 2. Даже если ты определишь тип WAF, то не факт что там не будет доп надстроек и так далее, а так нужно просто гуглить за конкретный WAF и смотреть что он из себя представляет и только потом...

добавлю к вышесказанному, что если ты знаешь конкретный уязвимый параметр, то скажи это sqlmap через -p param, неважно GET или POST, плюс про level risk не забывай и предварительно попробуй сам руками посмотреть а фильтруется ли вообще что-то

Всех приветствую! Настало время для очередного отзыва на курс «SQL-injection Master». Глубоко вдаваться не придётся, потому что есть отличные подробные отзывы от предыдущих участников (читать отзыв BearSec, читать отзыв debolg), причем один из них еще от текущего здоровского куратора данного...

Пуджа сейчас в легкую пикают чаще всего ))) Быстро не получится, изучай HTML, PHP, SQL, PYTHON и еще кучу всего, как начнешь, поймешь что необходимо

index.php?id=1.0000000000001

Можешь купить курс с методичками и подсказками помимо лаборатории 3-месячный онлайн-курс SQL Injection Master Что касается Oracle - free версия - Web Application Security, Testing, & Scanning - PortSwigger - там будет не только SQL

это еще не означает, что в дальнейшем он не раскрутит иньекцию если ты уверен максимально что этот параметр неуязвим, то через -р укажи конкретный параметр для сканирования

есть несколько вариантов решения: 1 - ты можешь указать --union-char="значение"; 2 - в answer попробуй укажи "follow=Y"

https://ufolabs.net/threads/neskolko-vektorov-obxoda-dlja-incapsula-waf.2849/

1. нужно смотреть что фильтрует, ставь verbose 3 минимум 2. space2comment заменяет пробелы “/ ** /” и это не панацея, программа просит использовать тампер и в пример ставит space2comment. Тамперов много, можно что-то написать самому если ничего из базы не подойдет 3. можно использовать сразу...

Спасибо. как обычно тупанул на ровном месте из-за нелепой ситуации и нет мне оправдания, однако это исключительно познавательный характер не более - опыт только в практике ! спасибо за совет в любом случае, burp'ом ковыряю но пока что безуспешно (

Добрый день! Расшарил я одну SQL иньекцию , но не могу выдернуть ничего о БД - все тщетно, мол WAF не дает результат ниже Я перепробовал все тамперы с hex и no-cast. единственное что обнаружил, это установленный Suhosin patch, но как его обойти тоже пока что не придумал Нашел тему, где...