Microsoft SQL Server 2012では、「@@VERSION」は16進コードで表現されるため、データベースから任意の文字列を挿入することが可能です。
結果を表示するページはテストページに示されているものと似ていますが、名前フィールドを確認すると応答がなく、サーバーがクラッシュしました。
このバグはサービスデスクによって修正されました。
単純なSQLインジェクションでカルナタカ州NICポータルをハッキングする方法 from infosecwriteups.com
security summaryMicrosoft SQL Server 2012では、「@@VERSION」は16進コードで表現されるため、データベースから任意の文字列を挿入することが可能です。
結果を表示するページはテストページに示されているものと似ていますが、名前フィールドを確認すると応答がなく、サーバーがクラッシュしました。
このバグはサービスデスクによって修正されました。
コメント