17

在阅读 SQL 注入和 XSS 时,我想知道你们是否有一个字符串可以用来识别这些漏洞和其他漏洞。

一个字符串,可以被扔到网站数据库中以黑盒检查该字段是否安全。(将对一些内部工具进行大型测试)

粗略的例子,想知道你们是否知道更多?

“一个”或“1”=“1”

"center'> <脚本>alert('test')</script>"

编辑:在 SO 上找到了一个不错的XSS 问题

4

5 回答 5

18

我发现了一些不错的 Firefox 插件可以解决问题。

跨站脚本我

SQL 注入我

于 2008-11-08T12:26:58.250 回答
3

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet有很多用于测试 SQL 注入的示例。

于 2008-11-08T14:10:31.363 回答
2

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

包括大多数数据库的版本,包括绕过标准转义的十六进制技巧。

于 2008-11-08T12:32:01.780 回答
1

老实说,有一些工具可以很好地测试 SQL 注入,但老实说,它们并不能完全替代手动测试和代码审查。

要使用您的示例,在某些情况下“或(1 = 1)”不起作用,但“或/** /(1 = 1);--”起作用。

有时调整某些字符串会提供不同的结果,这取决于字符编码和一般创造力等因素。还值得一提的是,有时您的 Web 应用程序中的 3rd 方工具也不安全。永远不要低估人们的创造力,特别是如果你有一个公共网站。

这是一个很好的备忘单。

为了进行测试,我使用Paros,它有一个有趣的网站扫描工具,你也可以运行它来发现一些问题。

这个问题重复了这个SQL 注入漫画。

于 2008-11-08T14:25:09.243 回答
0

有关示例,请参见OWASP站点。

于 2008-11-08T13:11:42.620 回答