"Ammo"에 대한 SQL 주입 테스트가 있습니까?

문제

SQL 주입 및 XSS에 대해 읽을 때 해당 취약점과 다른 사람을 식별하는 데 사용할 수있는 단일 문자열이 있는지 궁금합니다.

웹 사이트 데이터베이스에 버릴 수있는 문자열은 해당 필드가 안전한지 여부를 확인합니다. (몇 가지 사내 도구에서 대규모 테스트를 수행 할)

거친 예, 여러분이 더 알고 있는지 궁금하십니까?

"A '또는'1 '='1"

"Center '> <cript> Alert ('Test ') < /script>"

편집 : 좋은 것을 발견했습니다 XSS 질문 그렇게

해결책

나는 트릭을하는 멋진 Firefox Addons를 발견했습니다.

다른 팁

표준 이스케이프를 우회하는 육각 트릭을 포함하여 대부분의 DBS 용 버전이 포함되어 있습니다.

솔직히 SQL 주입에 대한 테스트를 잘하는 몇 가지 도구가 있지만 솔직히 수동 테스트 및 코드 검토를 완전히 대체하지는 않습니다.

예제를 사용하려면 "또는 (1 = 1)"이 작동하지 않지만 "또는/ **/ (1 = 1);-"하는 상황이 있습니다.

때로는 특정 문자열을 조정하면 캐릭터 인코딩 및 일반적인 창의성과 같은 것들에 따라 다른 결과를 제공합니다. 또한 웹 애플리케이션의 타사 도구 로부터도 안전하지 않다고 언급하고 있습니다. 특히 공개 웹 사이트가있는 경우 사람들의 창의성을 과소 평가하지 마십시오.

이것은 꽤 좋습니다 컨닝 지.

테스트를 수행하려면 사용합니다 파로스, 몇 가지 문제를 찾을 수있는 흥미로운 웹 사이트 스캔 도구가 있습니다.

이 질문은 이것의 반복을 가지고 있습니다 SQL 주입 만화.

참조 OWASP 예제를위한 사이트.

라이센스 : CC-BY-SA ~와 함께 속성

제휴하지 않습니다 StackOverflow