time based sql inj

[C0rtex]

Мне тоже немного не понятно какое отношение файл robots.txt , куда записываются данные для поисковых роботов какие файлы можно индексировать, а какие нет. Сама суть недостатка SQL-injection в том, что есть скрипт, принимающий на вход параметры, которые используются в запросе к базе данных, но просто код от данных плохо фильтруется и нужно просто исправить запрос, а после дописать свой. Здесь просто имеем *.txt файл, который ничего на вход не принемает (и не может).
Time-based SQL-injection - это разновидность Blind SQL-injection. А чем отличаются Blind injection от всех остальных? Тем, что в Blind injection мы просто не видим ответа и вынуждены получать данные по "второстепенным" каналам (это относится ко-всем веб-уязвимостям). В нашем случаям от времени.
Для ликбез и тренировки можно использовать это: Portswigger (там и 2 лабы есть).
Но я глубоко сомневаюсь, что в файле robots.txt может быть SQL-injection любого типа, просто исходя из логики, природы уязвимости и расширения файла в конце концов.

бро да я тоже, че то одупел впервые видел такое, так что хз, и подумал может бурп ступанул

 

[Kail Battler]

бро да я тоже, че то одупел впервые видел такое, так что хз, и подумал может бурп ступанул

Скорее всего бурп, не доверяйте автоматическим сканерам безопасности, это на всех курсах/лабах по-пентесту написано.

 

[C0rtex]

Да я согласен , к у меня такое ощущение что ошибку выдало из за того что я попал в тайминг на обрыве соединения с интернетом вот и бурп выкинул ошибку , а так всем спасибо за участие