SQL Truncation Registration - Pentesting Web

SQL Truncation:

Voici la liste des adresses e-mail que nous devrions essayer d'accéder:

Dans le panneau d'inscription, si nous essayons d'insérer une adresse e-mail, il nous indique que l'utilisateur existe déjà:

Nous constatons dans le code HTML que la base de données limite le nombre de caractères à 13:

Nous saisissons l'adresse e-mail avec des espaces et un caractère supplémentaire, en modifiant également le maxlength dans le code HTML à un nombre supérieur pour nous permettre d'écrire:

Nous parvenons à nous inscrire avec le nom d'utilisateur Jacob, car ce qui s'est passé, c'est que l'e-mail a été tronqué. Ce que nous entendons par troncation des espaces à la fin de la chaîne, c'est la suppression automatique de ces espaces.

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?