这可能听起来像一个奇怪的问题,但有没有我可以下载一个易受sql注入的网站的网站类型没有登录旁路?
我正在制作漏洞扫描程序,我想学习一些SQLi,所以我可以将它包含在我的项目中。
谢谢,它不需要花哨。足以练习。
答案 0 :(得分:7)
OWASP WebGoat是常见的例子。包括SQL注入漏洞。
答案 1 :(得分:1)
不,您无法下载其网站以测试注入漏洞。你需要下载他们的整个数据库和配置来做你说的。如果您想仁慈地去检查各个站点的安全性,您必须向他们询问他们的系统并自行建模。 OWASP适用于最近未使用补丁更新的系统,例如粘性线的评论 - 它是第一个端口。
答案 2 :(得分:0)
OWAPS的WebGoat是一个容易受到攻击的应用程序,它模拟了现实世界的漏洞。 The Whitebox是一个真实世界漏洞的集合,它有2个Web应用程序,因为应用程序在那里不安全而被放弃。它也有一系列挑战,从现实世界的应用程序中获取易受攻击的代码。这个项目有真实的SQL注入以及更严重的漏洞。
尝试使用Wapiti(开源)或Acunetix($)或NTOSpider($$$)扫描易受攻击的应用。然后尝试使用应用程序,创建博客文章等,然后再次扫描。