Você tem alguma SQL Injection Testing “Ammo”?
https://stackoverflow.com/questions/274659
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Ao ler sobre SQL Injection e XSS eu queria saber se vocês têm uma única corda que poderia ser usado para identificar as vulnerabilidades e outros.
Uma cadeia que pode ser jogado em um banco de dados site para verificar caixa preta se esse campo é seguro ou não. (Vai fazer um grande teste em algumas ferramentas Interno)
exemplo áspero, querendo saber se vocês sabem de mais?
"A 'ou '1'=' 1"
"centro '> "
EDIT: Encontrado um bom questão no SO
Solução
Outras dicas
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet tem muitos exemplos para testar a injeção de SQL.
http://ferruh.mavituna.com/sql-injection-cheatsheet- Oku /
Inclui versões para a maioria dos bancos de dados, incluindo truques Hex que padrão desvio escapar.
Honestamente, existem algumas ferramentas que são muito bons um teste para SQL Injection, mas honestamente eles não substituem totalmente o teste manual e revisão de código idealmente.
Para usar o exemplo, existem situações em que "ou (1 = 1)" não funciona, mas "ou / ** / (1 = 1); -" faz.
Às vezes aprimorando certas cordas irá fornecer resultados diferentes, dependendo de coisas como a codificação de caracteres e criatividade em geral. Também vale a pena mencionar que, às vezes você não está seguro de ferramentas de 3 em sua aplicação web também. Nunca subestime a criatividade das pessoas, especialmente se você tem um site público.
Este é um bom muito cheatsheet .
Para fazer o meu teste eu uso Paros , tem uma ferramenta website digitalização interessante que você também é possível executar que encontra alguns problemas também.
Esta questão tem a repetir deste SQL Injection desenho animado .
Veja a OWASP local para exemplos.
