SQL inj через Telegram бот

[Nil$]

Подумалось вот что. Сейчас очень большое распространение получили боты в телеграм. Большенство ботов имеет на стороне серванта какой-нибудь обработчик запросов, обращающийся к sql серверу.
Возможно ли проэкслуатировать сабж?

Гугл не помог. По-ходу никто не делал такого

 

[Akasuki_Takahash]

В теории конечно возможно, Boolean - Time based SQL но только ты потратишь кучу времени на это) т.к нет подручных инструментов на подобии sqlmap.

П.С если этот пост связан с WSS ботом не трать время.

 

[BabaDook]

Да, более чем возможно

 

[Akasuki_Takahash]

Вообще по опыту скажу, я очень плотно работаю с Телеграм ботами обычно делается фильтр на запросы от юзера, скажем так если юзер должен отправить команду /BC 1 а отправляет допустим /BC 1' или любую другую команду несколько раз не верно он уходит в блок. Т.е врятли получится взять что-то крупное, тут и анализ не простой и реализация очень сложная.

 

[Nil$]

А что за WSS бот?

И вообще, нужно создать отдельную тему для ссылок на интересные боты ...