你有任何SQL注入测试“Ammo”?

时间:2008-11-08 12:09:34

标签: testing xss sql-injection

当阅读有关SQL注入和XSS的消息时,我想知道你们是否有一个字符串可用于识别这些漏洞和其他漏洞。

可以将网站数据库投入黑盒子的字符串检查该字段是否安全。 (要对一些内部工具进行大量测试)

粗略的例子,想知道你们是否知道更多?

“a”或“1”=“1”

“center”>< script> alert('test')< / script>“

编辑:在SO

上找到一个不错的XSS question

5 个答案:

答案 0 :(得分:18)

我发现了一些不错的firefox插件可以解决问题。

XSS Me

SQL Inject Me

答案 1 :(得分:3)

答案 2 :(得分:2)

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

包含大多数数据库的版本,包括绕过标准转义的Hex技巧。

答案 3 :(得分:1)

老实说,有一些工具可以很好地测试SQL注入,但老实说,它们并不能完全取代手动测试和代码审查。

要使用您的示例,有些情况下“或(1 = 1)”不起作用,但“或/ ** /(1 = 1); - ”。

有时调整某些字符串会产生不同的结果,具体取决于字符编码和一般创意。还要提到的是,有时候您的Web应用程序中的第三方工具也不安全。永远不要低估人们的创造力,特别是如果你有一个公共网站。

这是一个非常好的cheatsheet

要进行我的测试,我使用Paros,它有一个有趣的网站扫描工具,你也可以运行,也发现一些问题。

这个问题重复了这个SQL Injection卡通片。

答案 4 :(得分:0)

有关示例,请参阅OWASP网站。