你有任何SQL注入测试“Ammo”?
-
07-07-2019 - |
题
当阅读有关SQL注入和XSS的消息时,我想知道你们是否有一个字符串可用于识别这些漏洞和其他漏洞。
可以将网站数据库投入黑盒子的字符串检查该字段是否安全。 (要对一些内部工具进行大量测试)
粗略的例子,想知道你们是否知道更多?
“a”或“1”=“1”
"中心'> <脚本>警报( '试验')< /脚本>"
编辑:在SO上找到一个不错的 XSS问题
解决方案
其他提示
http://ferruh.mavituna.com/sql-injection-cheatsheet-奥/
包含大多数数据库的版本,包括绕过标准转义的Hex技巧。
老实说,有一些工具可以很好地测试SQL注入,但老实说,它们并不能完全取代手动测试和代码审查。
要使用您的示例,可能会出现“或(1 = 1)”的情况。不起作用但是“或/ ** /(1 = 1); - ”确实。
有时调整某些字符串会产生不同的结果,具体取决于字符编码和一般创意。还要提到的是,有时候您的Web应用程序中的第三方工具也不安全。永远不要低估人们的创造力,特别是如果你有一个公共网站。
这是一个非常好的 cheatsheet 。
要进行我的测试,我使用 Paros ,它有一个有趣的网站扫描工具,你也可以运行,也发现一些问题。
这个问题重复了这个 SQL Injection 漫画。
有关示例,请参阅 OWASP 网站。
不隶属于 StackOverflow