当阅读有关SQL注入和XSS的消息时,我想知道你们是否有一个字符串可用于识别这些漏洞和其他漏洞。
可以将网站数据库投入黑盒子的字符串检查该字段是否安全。 (要对一些内部工具进行大量测试)
粗略的例子,想知道你们是否知道更多?
“a”或“1”=“1”
“center”>< script> alert('test')< / script>“
编辑:在SO
上找到一个不错的XSS question答案 0 :(得分:18)
答案 1 :(得分:3)
答案 2 :(得分:2)
http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/
包含大多数数据库的版本,包括绕过标准转义的Hex技巧。
答案 3 :(得分:1)
老实说,有一些工具可以很好地测试SQL注入,但老实说,它们并不能完全取代手动测试和代码审查。
要使用您的示例,有些情况下“或(1 = 1)”不起作用,但“或/ ** /(1 = 1); - ”。
有时调整某些字符串会产生不同的结果,具体取决于字符编码和一般创意。还要提到的是,有时候您的Web应用程序中的第三方工具也不安全。永远不要低估人们的创造力,特别是如果你有一个公共网站。
这是一个非常好的cheatsheet。
要进行我的测试,我使用Paros,它有一个有趣的网站扫描工具,你也可以运行,也发现一些问题。
这个问题重复了这个SQL Injection卡通片。
答案 4 :(得分:0)
有关示例,请参阅OWASP网站。