hackerone-stripo-2020-01-m-761382
stripo blog search SQL Injection
검색 기능에서 SQLi가 발생했다.
sqlmap을 이용하여 발견한 것 같다.
1’ AND (SELECT 6268 FROM (SELECT(SLEEP(5)))ghXo) AND ‘IKlK’=‘IKlK 와 같은 페이로드로 time based SQLi가 가능했다.
tags: wstg-inpv-05, bughunting, sqli, time-based-sqli, severity medium, web hacking