SQL注入成功后发生了什么?

时间:2011-06-24 17:27:24

标签: sql security sql-injection

我总是对黑客行为感兴趣,我理解SQL注入和跨站点脚本的概念。但是,我不知道的是如何检测可能的SQL注入。我检查了一些书,但我没有得到太多的信息。黑客是手工完成检测工作还是拥有更智能的自动工具?

所以,我正在考虑编写一个简单的工具来进行自动注入检查(使用qwebkit)。我想在发送之前捕获http请求,并用SQL注入命令替换http头的一些表单数据。该程序检查http响应并将其与正常响应进行比较,并报告任何差异。

问题是我自己从未发现过SQL注入,这个想法是否有效?

说,如果我成功升级到某个网站的管理员,返回的http响应应该看起来正常。所以我不能用我的程序自动报告?

1 个答案:

答案 0 :(得分:5)

您可能想看看SQL Injection Cheatsheet。它列出了黑客通常会尝试确定特定输入字段是否可利用,然后从数据库中提取数据的技巧。