Question

Я нашел много инструментов, которые внедряют пароли, деньги и другие вещи в другие веб-сайты.

Однако я уверен, что ни одна из них не будет работать против всех форм на моем сайте.

Итак, я хочу вручную проверить свой сайт на наличие SQL-инъекций.

Какой хороший способ попробовать SQL-инъекции на моем сайте?

Нужно ли имя базы данныхимя пользователя и пароль базы данных?Нужно ли знать номер порта SQL?Как начать?

emboss · Answer 1 · 09 июля 2011

Взгляните на этот шпаргалка , чтобы попробовать его вручную. OWASP также охватывает теорию . Вы должны быть знакомы с ним, чтобы эффективно использовать автоматизированные инструменты.

Здесь - список инструментов, которые вы можете использовать.

Mike Samuel · Answer 2 · 09 июля 2011

Злоумышленник не должен знать пароль для базы данных, но вы можете предположить, что ваши имена таблиц и схемы могут быть угаданы.

Просто перечислите набор параметров, которые принимает каждая страница (включая те, которые нена самом деле создайте ссылки на ссылки, заполненные только скрытыми параметрами) и попробуйте добавить в них специальные символы, такие как кавычки.Если ввод O'Reilly в форме ввода вызывает исключение, то хорошее изменение ' OR '' == ' приведет к тому, что на целую кучу будет больше результатов, чем предполагал программист.

Ovais Khatri · Answer 3 · 09 июля 2011

Вам необходимо проверить шаги, в которых вы использовали встроенные SQL-запросы, которые объединяются с пользовательским вводом. Пользователь может ввести целый SQL-запрос, который затем будет выполнен как подзапрос.

Проверьте эту ссылку тоже.

Darin Dimitrov · Answer 4 · 09 июля 2011

Нет 100% надежного инструмента, который позволил бы вам узнать, уязвим ли ваш сайт для внедрения SQL или нет.Если бы SQL-инъекция существовала, ее бы не было, и это было бы неинтересно :-) Вы можете оформить заказ sqlmap .А вот статья , описывающая различные строки, которые вы можете попробовать ввести.

Tarek · Answer 5 · 09 июля 2011

вот хороший пост об инъекциях sql

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

Как вручную выполнить SQL-инъекции на моем сайте?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 6 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как вручную выполнить SQL-инъекции на моем сайте?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 6 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы