Vega est un scanner de vulnérabilité assez peu fiable. Ce que tu a trouvé est bien une faille SQL où tu va jouer sur les valeurs valide, l'application joue avec la logique, en utilisant dans ton cas l’opérateur AND.

Malgré tout, Vega comme beaucoup de vuln propose une grande partie de faux positifs, des failles qui ne le sont pas, soit parce que le vuln n’a pas eu accès à la page soit parce que l’injection s’est soldé par un échec et le programme lui retourne une erreur qu’il considère comme acquise. C’est pourquoi il est important d’avoir un bon scanner de vulnérabilité et surtout de connaître le fonctionnement de celui-ci. Souvent ce sera à Mano que les résultats seront les plus fructueux.

Dans ton cas, il a déceler une faille BLIND SQL prétextant que 1=2 ceci est faux.
Si tu avais sur la page un souci d'affichage ou autre (déformation diverses) qui pourrait prétendre que la faille existe alors libre à toi d'exploiter.

Pour finir et répondre à ta question, si tu n'a rien sur ta page alors cette faille est un faux positifs, il ne te reste plus qu'à essayer avec un autre ou en le fesant toi-même.

Bonne chance pour la suite.

D'accord, merci de ta réponse mais comment je pourais jouer sur les valeurs valide (je ne comprend pas trop en fait). Connaîtrait tu un bon scaner (enfin un qui est asser fiable) gratuit si possible ? En tout cas merci

Holliwood, nous pouvons t'aider mais je pense que tu en apprendrais beaucoup plus si tu faisais une partie de la recherche de par toi même.

Cherche scanner de vulnérabilité sur google et les premiers résultats seront certainement cohérents.
Pour le jeu sur les valeurs de sqli, cherches sur le forum. Je pense qu'il y a des posts à ce sujet.

D'accord, et cela ne va pas me faire de mal d'apprendre par moi même hein ? en tout cas merci quand même

De bon scanner difficile j'ai mis un tuto sur hackademics pour Openvas :
http://hackademics.fr/showthread.php...et-open-source
Pour ce qui est d'apprendre :
https://www.exploit-db.com/papers/12903/
https://dl.packetstormsecurity.net/p...petite-sql.txt
https://www.phpsecure.info/v2/article/InjSql.php

Voila qui devrait te permettre de bien débuter

Le plus important Holliwood c'est surtout de comprendre les mécanismes qui entraînent l'injection SQL. Les scanners permettant une exploitation automatique viennent bien après (d'ailleurs as-tu les droits de tester des injections sur ce site ?).

Pour t’entraîner je te conseille le site root-me.org qui est pas mal foutu. Voilà deux exemples d'injection SQL avec des ressources associées pour que tu puisses apprendre dans de bonne conditions:

https://www.root-me.org/fr/Challenge...jection-string
https://www.root-me.org/fr/Challenge...tion-numerique

En espérant que ça t'aide