我总是对黑客行为感兴趣,我理解SQL注入和跨站点脚本的概念。但是,我不知道的是如何检测可能的SQL注入。我检查了一些书,但我没有得到太多的信息。黑客是手工完成检测工作还是拥有更智能的自动工具?
所以,我正在考虑编写一个简单的工具来进行自动注入检查(使用qwebkit)。我想在发送之前捕获http请求,并用SQL注入命令替换http头的一些表单数据。该程序检查http响应并将其与正常响应进行比较,并报告任何差异。
问题是我自己从未发现过SQL注入,这个想法是否有效?
说,如果我成功升级到某个网站的管理员,返回的http响应应该看起来正常。所以我不能用我的程序自动报告?