我正在为我们的Web应用程序API编写自动测试程序。我试图打破它并揭露瑕疵。到目前为止,我正在尝试:
admin=1)eval("echo 'injection';");所有以%编码OR 1=1,评论-- 我并不是真的想去掉桌子之类的东西,我不想破坏我们的测试环境。我的所有攻击都更多的是打印消息,因此我知道我在不删除信息的情况下解决了安全问题。
答案 0 :(得分:2)
现在已经有各种各样的自动化测试仪了,利用它们可能更有意义,因为你不可避免地会忽略自己代码的某些方面等。
就渗透测试工具而言,Penetration testing tools问题包括软件建议。
答案 1 :(得分:0)
我强烈建议您不要自己这样做。有大量不同的攻击向量,这可能是很长一段时间的全职工作。这不是你在一两个星期内敲响的东西。
相反,请查看Metasploit。这是一个很棒的笔测试框架。我保证任何知道他们在尝试破解网站时所做的事情都有这个。你也可以使用相同的工具。
答案 2 :(得分:0)
开源漏洞扫描程序W3AF可以扫描以下影响PHP应用程序的漏洞:
LFI/RFI
LDAPi
SQLi
XSS
OS Command Execution
CRLF injection
Directory Traversal
还有更多。