Avez-vous des tests d'injection SQL «Ammo»?

Question

Lors de la lecture sur SQL Injection et XSS, je me demandais si vous aviez une seule chaîne qui pourrait être utilisée pour identifier ces vulnérabilités et d’autres.

Une chaîne pouvant être jetée dans une base de données de site Web pour vérifier si ce champ est sécurisé ou non. (va faire un grand test sur quelques outils internes)

Exemple approximatif, vous vous demandez si vous en savez plus?

"a" ou "1" = "1"

" center '> < script > alert ('test') < / script > "

EDIT: vous avez trouvé une jolie question XSS sur le SO

.

Answer 1

J'ai trouvé quelques bons addons firefox qui font l'affaire.

XSS Me

Injectez-moi SQL

Answer 2

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet a beaucoup d'exemples pour tester l'injection SQL.

Answer 3

http://ferruh.mavituna.com/sql-injection-cheatsheet- oku /

Inclut les versions pour la plupart des bases de données, y compris les astuces hexadécimales qui contournent l'échappement standard.

Answer 4

Honnêtement, il existe des outils assez performants pour tester SQL Injection, mais honnêtement, ils ne remplacent pas parfaitement les tests manuels et la révision de code.

Pour utiliser votre exemple, il existe des situations où " ou (1 = 1) " ne fonctionne pas mais "ou / ** / (1 = 1); -" Est-ce que.

Parfois, modifier certaines chaînes donnera des résultats différents, en fonction d'éléments comme l'encodage des caractères et la créativité générale. Il convient également de mentionner que, parfois, vous n'êtes pas à l'abri des outils tiers dans votre application Web. Ne sous-estimez jamais la créativité des gens, surtout si vous avez un site web public.

C’est un assez bon cheatsheet .

Pour effectuer mes tests, j’utilise Paros , il dispose d'un outil d'analyse de site Web intéressant que peut également exécuter des problèmes.

Cette question porte la répétition de cette caricature Injection SQL .

Answer 5

Voir le site OWASP pour des exemples.