¿Tiene alguna prueba de inyección SQL & # 8220; Munición & # 8221 ;?

Question

Al leer acerca de la inyección SQL y XSS, me preguntaba si ustedes tienen una sola cadena que podría usarse para identificar esas vulnerabilidades y otras.

Una cadena que podría arrojarse a la base de datos de un sitio web a un recuadro negro verifica si ese campo es seguro o no. (va a hacer una prueba grande en algunas herramientas internas)

Ejemplo tosco, ¿se preguntan si saben algo más?

" a 'o' 1 '=' 1 "

" centro '> < script > alert ('prueba') < / script > "

EDITAR: Encontramos una buena pregunta XSS en SO

Answer 1

He encontrado algunos buenos complementos de Firefox que hacen el truco.

XSS Me

SQL Inject Me

Answer 2

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet tiene muchos ejemplos para probar la inyección SQL.

Answer 3

http://ferruh.mavituna.com/sql-injection-cheatsheet- oku /

Incluye versiones para la mayoría de los DB, incluidos trucos Hex que evitan el escape estándar.

Answer 4

Honestamente, hay algunas herramientas que son bastante buenas para probar la inyección de SQL, pero honestamente no reemplazan completamente las pruebas manuales y la revisión de código.

Para usar su ejemplo, hay situaciones en las que " o (1 = 1) " no funciona pero '' o / ** / (1 = 1); - '' hace.

A veces, ajustar ciertas cadenas proporcionará resultados diferentes, dependiendo de cosas como la codificación de caracteres y la creatividad general. También vale la pena mencionar que a veces no estás a salvo de las herramientas de terceros en tu aplicación web. Nunca subestimes la creatividad de las personas, especialmente si tienes un sitio web público.

Esta es una muy buena cheatsheet .

Para hacer mis pruebas, uso Paros , tiene una interesante herramienta de escaneo de sitios web que usted puede también puede ejecutarse y encontrar algunos problemas también.

Esta pregunta lleva la repetición de esta dibujos animados de inyección SQL .

Answer 5

Consulte el sitio OWASP para ver ejemplos.