当通过 FUZZ 执行 SQL 注入以及内置有效负载时。扫描结果沿 Code、Reason、State 和 Payloads 显示多个列。
我如何分析已发布请求的这些列(代码、原因、状态和有效负载)
问问题
594 次
1 回答
2
任何模糊测试活动都需要用户手动审查和确认。如果没有更多关于应用程序、功能和输出的详细信息,我们无法告诉您如何分析模糊器结果。
本质上,您必须与原始(已知良好)请求/响应相比,查看模糊结果。
以下是一些可能对您有所帮助的资源:
- https://www.owasp.org/index.php/SQL_Injection
- https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)
- https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md
如果您不确定 HTTP 通信、各种攻击技术等如何工作,那么最好(从多个角度:时间、预算/成本、有效性、理智等)让您的安全团队参与或将评估工作外包给第三方。
于 2019-04-25T16:47:10.033 回答