私はいくつかのWebPentestingエクササイズをしています。この1つのタスクは、SQLインジェクションを使用してこの名前とパスワードで新しいアカウントを作成する必要があるということです。 Webページには、テキスト入力ユーザー名と別のテキスト入力「パスワード」があります。私はユーザー名のテキスト入力の中に必要な文字を入力することができますが、パスワード入力の中には特定の入力を入力する必要があります。SQLインジェクションを使用してSQL構文エラーを受け取る方法は?
私は挿入クエリを挿入する必要があることを知っているが、事は私はテーブル名を知らないです。新しいユーザーを挿入するために、テーブル名を知る必要があるので、どのようにウェブにtablenameが表示されたエラーを表示するのか疑問に思っています。
エラー上映は次のようにする必要があります:文のコマンドの 予期しない終了[SELECT * FROM(テーブル名)WHERE ...]私はちょうど1文字で入力しようとした
(多分> 1つの文字が必要です)パスワードフィールド内で、エラーを表示したり、パラメータテキスト入力パスワードを削除することさえできます。しかし、SQL構文エラーは表示されません。
質問は次のとおりです。ウェブページビューにテーブル名が表示されたSQL構文エラーを表示するには、どのように悪用するのですか?
なぜ、ユーザー名フィールドには注入は機能しませんが、パスワードフィールドでは機能しますか?