我获得了Acunetix OVS(在线扫描程序)的许可,在结果中我收到了大量针对此WebSite的SQL注入漏洞(MS ASP.Net v4站点)..
我需要测试这个发现不是误报,所以我举一个例子,Acunetix说在http://URL/SomePage.aspx中找到了一个SQL注入 参数:__LASTFOCUS
攻击详情 POST(多部分)输入__LASTFOCUS设置为1ACUSTART'“1BJuNACUEND 找到错误消息: System.Data.SqlClient.SqlException:
它实际上意味着,给定异常,它直接影响SQL执行..
所以我继续打开Postman Interceptor使用这个页面执行POST请求,然后在Postman我得到了历史记录中的请求..
所有标题,Cookie和Body POST参数都包含“__LASTFOCUS”参数..
无论我输入什么(即使Acunetix说它发送的值)我也没有得到SQL错误消息..页面答案很好,我尝试过不同的POST场景,所有这些都很有效..
有没有一种方法可以实际测试它是否因为SQL Exception而失败,所以我可以证明客户端漏洞是真实的而不是误报?
提前致谢..