Есть ли у вас какие-нибудь “Боеприпасы” для тестирования SQL-инъекций?

StackOverflow https://stackoverflow.com/questions/274659

  •  07-07-2019
  •  | 
  •  

Вопрос

Когда я читал о внедрении SQL и XSS, мне было интересно, есть ли у вас, ребята, одна строка, которую можно было бы использовать для выявления этих уязвимостей и других.

Строка, которая может быть введена в базу данных веб-сайта, чтобы черным ящиком проверить, является ли это поле безопасным или нет.(собираюсь провести большой тест на нескольких собственных инструментах)

Грубый пример, интересно, знаете ли вы, ребята, о большем?

"a" или "1"="1"

"центр"> < скрипт>оповещение('тест')< /скрипт>"

Редактировать:Нашел хороший Вопрос XSS на ТАК

Это было полезно?

Решение

Я нашел несколько хороших дополнений для Firefox, которые делают свое дело.

XSS Я

SQL Вводит меня

Другие советы

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet содержит множество примеров для тестирования SQL-инъекции.

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

Включает версии для большинства баз данных, включая шестнадцатеричные трюки, которые обходят стандартное экранирование.

Честно говоря, есть некоторые инструменты, которые довольно хороши для тестирования SQL-инъекций, но, честно говоря, они не полностью заменяют ручное тестирование и проверку кода в идеале.

Чтобы использовать ваш пример, есть ситуации, когда "или (1 = 1)" не работает, но "или/**/ (1=1);--" работает.

Иногда настройка определенных строк дает разные результаты, в зависимости от таких факторов, как кодировка символов и общий творческий подход.Также стоит упомянуть, что иногда вы также не защищены от сторонних инструментов в своем веб-приложении.Никогда не стоит недооценивать креативность людей, особенно если у вас есть общедоступный веб-сайт.

Это довольно хороший чит - лист.

Для проведения своего тестирования я использую Парос, у него есть интересный инструмент сканирования веб-сайтов, который вы также можете запустить, который также обнаруживает некоторые проблемы.

Этот вопрос требует повторения этого SQL - инъекция Мультфильм.

Смотрите на OWASP ( ОВАСП ) сайт для примеров.

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top