ストアドプロシージャ名を使用したSQLインジェクション

Question

パラメータとしてストアドプロシージャ名を持つURLがあります。

これは、ストアドプロシージャ名として "MyStoredProcedure"パラメータを持つサンプルURLです。いくつかのシステム組み込みSPを置き換えたり実行したり、このURLを使って他のハッキングを行う方法はありますか？

http://mywebapp/arsys/BackChannel/?param=170%2FExpandMenu%2F13%2FSQLMenuOnOpen14%2Fmyserver%2Fmyconsoleapp14%2Fmyserver14%2FIR_MainConsole0%2F0%2F1%2F01%2F02%2F0%2F2%2F0%2F2%2F0%2F13%2F1%2F9%2F58000011015%2F1%2F10%2FMyStoredProcedure 5％2F1％2F1％2F42％2F0％2F2％2F0％2F2％2F0％2F & STOKEN = TK6I-9RXH-1UQW-IILQ-8A31-AK21-YE01-IOXK

Answer 1

テイク「SQL Injection anywhere - 故意に実行時エラーが発生したバイナリSQLインジェクション」を紹介したホワイトペーパーを見てください。 これは参考になる場合があります（DBの種類によって異なります）。 https://drive.google.com/file/d/0B3_AmubjewYTMmY4MDRiNTAtYmVkMi00NGQ4LTg3NjEtY2ZlNTdiYjZlYzUy/view?ddrp=1&hl=en