我使用Acunetix扫描了我的一个测试站点,并且它显示由于未闭合的引号而存在一些SQL注入漏洞。
如果我在表单中输入1'",我会收到错误消息。
如果我进入
"...MessageHandler.asmx/ChangePassword?PIN=1%27"&CurrentPwd=1&newPwd=1"
,我收到错误消息。
我的问题是,我从哪里去寻找更多?我已经阅读了关于注射的教程,但我似乎无法从这一点弄清楚要做什么。我知道我有一个注射漏洞,但现在呢?
我接下来的步骤是什么,看看我能看到哪种其他数据?
答案 0 :(得分:0)
在Microsoft SQL Server中,使用存储过程取消了SQL注入。即使作为参数,它也不会执行发送的命令。如果使用存储过程替换嵌入式SQL,则可以消除SQL注入威胁。通过GUI验证例程清理您的输入仍然是一种很好的做法,但这些可以很容易地由经验丰富的黑客传递,因此消除嵌入式SQL非常重要。