我找到了很多工具,可以将密码,钱和各种东西注入其他网站。
但是,我确信没有一个可以对我网站上的所有表单起作用。
所以,我想手动测试我的网站进行SQL注入。
在我的网站上尝试SQL注入的好方法是什么?
我是否需要数据库的数据库名称,用户名和密码?我需要知道SQL端口号吗?我该如何开始?
答案 0 :(得分:3)
请查看this cheat sheet以手动尝试。 OWASP还涵盖了theory。您应该熟悉它,以便有效地使用自动化工具。
Here是您可能使用的工具列表。
答案 1 :(得分:1)
攻击者不应该已经知道数据库的密码,但您可以假设您的表名和模式可以被猜到。
只需枚举每个页面所采用的参数集(包括那些没有形式实际链接的参数和仅由隐藏参数填充的参数),并尝试将特殊字符(如引号)放入其中。如果在表单输入中输入O'Reilly会导致异常,那么有一个很好的更改' OR '' == '将导致比程序员预期的更多结果。
答案 2 :(得分:0)
这是一篇关于sql注入的好文章
答案 3 :(得分:0)
答案 4 :(得分:0)
您需要检查使用内联SQL查询的步骤,这些查询与用户输入连接。用户可以输入一个完整的SQL查询,然后将其作为子查询执行。
同时检查this链接。
答案 5 :(得分:0)