Ниже приведен мой запрос API для добавления записи в базу данных с использованием вставки в запрос:
POST http://vulnerable.apireq.com/user_crops
POST data:
{
"userId": "0efccbce-1983",
"crops": [111]
}
Когда я запрашиваю выше api со следующими почтовыми данными:
POST data:
{
"userId": "0efccbce-1983-4f9f-9a28-a3bf96b7f068",
"crops": ["string"]
}
Тогда он дает мне следующий ответ:
{"status": false, "message": "SQLSTATE [HY000]: общая ошибка: 1366
Неверное целочисленное значение: 'строка' для столбца 'crop_id' в строке 1 (SQL:
вставить в user_crops (crop_id, guid, user_id) значения
(строка, 945cc7eb-44a4-4f58-85fc-9ab93867ef55,
0efccbce-1983-4f9f-9a28-a3bf96b7f068))», "данные": ""}
При просмотре ответа это кажется инъекционным, так как возвращает ошибку db. Но я пробовал с несколькими комбинациями и внедрением sqlmap со следующими точками инъекции, но sqlmap не нашел его инъекционным.
- -р "урожай"
- [ "строка *"]
- [ "строка" *]
- [ "строка"] *
Пожалуйста, помогите мне, если sqlmap не может обнаружить уязвимость через ответное сообщение API или есть какой-нибудь способ ее устранить. Заранее спасибо.