في عام 2016 البرتقاله التايلندي @orange_8361 استقبل رسالة ترويجية من شركة uber، وبب عين هكرجية لاحظ رابط كان موجود تحت للـ unsubscribe والي كان مثل الي بالصوره ادناه .. https://t.co/Jez9NmFKt2

ولاحظ بالرابط الي فوق ان كان المتغير p داخله base64 ولمن سوى decoding للـ base64 وجد ان داخله json string مماثل لما ترونه ادناه https://t.co/OAqtHLqQ67

وبجنونه المعهود اضاف للقيمة الموجوده في خانة الـ user_id بيلود شرطي لاختبار وجود ثغره الـ SQLi

وهو sleep(12) = 1

بحيث كانه يقول اضافةً للـ query الاساسيه المستخدمه في الابلكيشن مع الـ user_id الي قيمته 5755 شوف لي اذا sleep(12) تساوي 1 ، فف اذا كان الموقع مصاب بيستغرق عشان ما يجيب النتيجة على الاقل 12 ثانيه، واذا مو مصاب بيسحب على الـ sleep وبيرد على الريكويزته اسرع

ملاحظه : sleep دايماً ترجع 0 فف الشرط بيكون خطأ فما بترجع نتيجة للـ query ولكن سوى رجعت نتيجة ولا لا ما يهمنا اهم شي نعرفه اذا نفذ الـ sleep فهو مصاب واذا ما نفذه فف هو مو مصاب

اضاف الـ sleep وصار البيلود مثل الي بالصوره ادناه .. https://t.co/TaiIWtmGkS