Haben Sie eine SQL-Injection-Testing haben „Ammo“?
https://stackoverflow.com/questions/274659
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wenn man über SQL-Injection und XSS Lesen ich mich gefragt, ob ihr eine einzelne Zeichenfolge, die verwendet werden könnten, um diese Schwachstellen und andere zu identifizieren.
Eine Zeichenfolge, die in eine Website Datenbank Blackbox überprüfen, ob das Feld sicher geworfen werden könnten, ist oder nicht. (Geht einen großen Test auf ein paar Inhouse-Tools zu tun)
Raute Beispiel fragen, ob du mehr wissen?
"a 'oder '1'=' 1"
"center '> "
EDIT: Gefunden eine schöne XSS Frage auf SO
Lösung
Andere Tipps
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet hat viele Beispiele für die Prüfung SQL-Injection.
http://ferruh.mavituna.com/sql-injection-cheatsheet- oku /
Enthält Versionen für die meisten DBs, einschließlich Hex Tricks, die Bypass-Standard zu entkommen.
Ehrlich gesagt gibt es einige Tools, die ziemlich gut ein Test für SQL Injection, aber ehrlich gesagt sie nicht vollständig manuelle Tests und Code-Review ideal ersetzen.
Ihr Beispiel zu verwenden gibt es Situationen, in denen "oder (1 = 1)" funktioniert nicht, sondern "oder / ** / (1 = 1); -" der Fall ist.
Manchmal Tweaking bestimmte Zeichenfolge unterschiedliche Ergebnisse liefern, abhängig von Dingen wie Zeichencodierung und allgemeiner Kreativität. Es trägt auch manchmal zu erwähnen, dass Sie von 3rd-Party-Tool in Ihrer Web-Anwendung als auch nicht sicher sind. Unterschätzen Sie nie die Kreativität der Menschen, vor allem, wenn Sie eine öffentliche Website.
Dies ist eine ziemlich gute Spickzettel .
meine Tests tun Ich benutze Paros , es hat ein interessantes Website-Scan-Tool, das Sie kann auch ausgeführt werden, dass auch einige Probleme findet.
Diese Frage trägt die Wiederholung dieser SQL Injection Karikatur.
Siehe OWASP Website für Beispiele.
