SQL-Injection wenn Ajax verwendet wird.

Hallo,

ich versuche eine SQL-Injection auf einer zur Vefügung gestellten Seite.
Dort wird eine Get-Request per Ajax übertragen.

Kann mir jemand helfen und sagen wie man dort eine SQL-Injection durchführen kann?
Mir sind ein Username und Tabellenname bekannt. INFORMATION_SCHEMA

Das Problem ist das die Anleitungen im Netz immer eine Adresse erfordern in der ?id=2 oder ähnliches enthalten ist. Allerdings ist dies hier nicht der Fall.

Ich hoffe ihr könnt mir ein bisschen helfen und einen Tipp geben.

MfG
 
ajax tut auch nix anderes als einen http request abzusetzen ... nehm das script auseinander bis du die request url gefunden hast, und schau dir an was wie übergeben wird ... dann bau den aufruf manuell nach ... danach wende das was deine tutorials sagen auf die url an die du dir zusammengebaut hast ...
 
Hallo danke für deine Antwort,

So etwas steht dort:
xmlHttp.open('GET', 'test', true);

Ist das gleich bedeutet mit der url test.com/?test

Aber ein Feld oder einen Wert zu einer ID kann ich nicht erkennen.
Wie z.B. test.com/?test=1

Mfg
 
Führe den Request manuell aus und werte die Antwort der Seite aus. Nix anderes macht Ajax in deinem Fall.....
 
Hallo,

so nun führe ich den Request manuell aus.

http://test.de/test and 1=1

so sieht es in der Webseite aus: xmlhttp.open("GET","test"+str,true);

Wenn ich Havji verwendet funktinioniert das ganz gut, aber SQLMap sagt mir das es keinen Injection Point finden kann.
all parameters are not injectable.

Was mache ich falsch?
 
Zuletzt bearbeitet:
Zurück
Oben