我曾尝试在网站上执行SQL Injection渗透测试,但由于网站不容易受到攻击而无法执行。我想尝试通过XSS漏洞执行SQL注入渗透测试。有可能吗?
答案 0 :(得分:2)
XSS允许攻击者欺骗您的网站显示,以在您希望输出纯文本的位置插入Javascript代码。
从理论上讲,JavaScript可以创建一个AJAX请求返回网站,并尝试使用包含SQL语法的恶意内容向AJAX端点发出POST请求,并且该端点的代码在SQL查询中使用该内容。
但是,如果网站上的SQL查询已经不容易受到SQL注入的攻击,那么Javascript就无法使其变得易受攻击。