你有任何SQL注入测试“Ammo”？

Question

当阅读有关SQL注入和XSS的消息时，我想知道你们是否有一个字符串可用于识别这些漏洞和其他漏洞。

可以将网站数据库投入黑盒子的字符串检查该字段是否安全。 （要对一些内部工具进行大量测试）

粗略的例子，想知道你们是否知道更多？

“a”或“1”=“1”

＆QUOT;中心'＆GT; ＆LT;脚本＆GT;警报（ '试验'）＆LT; /脚本＆GT;＆QUOT;

编辑：在SO上找到一个不错的 XSS问题

Answer 1

我发现了一些不错的firefox插件可以解决问题。

XSS Me

SQL Inject Me

Answer 2

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet 有很多测试SQL注入的例子。

Answer 3

http://ferruh.mavituna.com/sql-injection-cheatsheet-奥/

包含大多数数据库的版本，包括绕过标准转义的Hex技巧。

Answer 4

老实说，有一些工具可以很好地测试SQL注入，但老实说，它们并不能完全取代手动测试和代码审查。

要使用您的示例，可能会出现“或（1 = 1）”的情况。不起作用但是“或/ ** /（1 = 1）; - ”确实。

有时调整某些字符串会产生不同的结果，具体取决于字符编码和一般创意。还要提到的是，有时候您的Web应用程序中的第三方工具也不安全。永远不要低估人们的创造力，特别是如果你有一个公共网站。

这是一个非常好的 cheatsheet 。

要进行我的测试，我使用 Paros ，它有一个有趣的网站扫描工具，你也可以运行，也发现一些问题。

这个问题重复了这个 SQL Injection 漫画。

Answer 5

有关示例，请参阅 OWASP 网站。