Czy macie jakieś testy SQL Injection "Ammo"?

Czytając o SQL Injection i XSS zastanawiałem się, czy macie pojedynczy ciąg znaków, który mógłby być użyty do identyfikacji tych luk i innych.

Łańcuch, który może zostać wrzucony do bazy danych witryny, aby sprawdzić, czy to pole jest bezpieczne, czy nie. (zamierzam zrobić duży test na kilku wewnętrznych narzędziach)

Szorstki przykład, zastanawiasz się, czy wiecie więcej?

"a" lub '1'='1"

"center' > alert ('test') "

EDIT: Found a nice XSS pytanie NA SO

Author: Community, 2008-11-08
Source

5 answers

Znalazłem kilka fajnych dodatków do Firefoksa, które działają.

XSS Me

SQL Inject Me

 18
Author: Ólafur Waage,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-08 12:26:58

Https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet ma wiele przykładów do testowania SQL injection.

 3
Author: JimmyJ,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-12-22 00:08:18

Http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

Zawiera wersje dla większości DBs, w tym Hex trików, które omijają standardowe ucieczki.

 2
Author: Meff,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-08 12:32:01

Szczerze mówiąc istnieją pewne narzędzia, które są całkiem dobre do testowania SQL Injection, ale szczerze mówiąc nie w pełni zastępują testowanie ręczne i przegląd kodu idealnie.

Aby użyć Twojego przykładu są sytuacje, w których "or (1=1)" nie działa, ale " or/**/ (1=1);--" tak.

Czasami poprawianie pewnych ciągów znaków daje różne wyniki, w zależności od takich rzeczy, jak kodowanie znaków i ogólna kreatywność. Należy również wspomnieć, że czasami nie jesteś bezpieczny od 3rd party narzędzia w Twojej aplikacji internetowej. Nigdy nie lekceważ kreatywności ludzi, zwłaszcza jeśli masz publiczną stronę internetową.

To jest całkiem dobry cheatsheet .

Do moich testów używam Paros , ma ciekawe narzędzie do skanowania stron internetowych, które można również uruchomić, które również znajduje pewne problemy.

To pytanie niesie za sobą powtórzenie tego SQL Injection .

 1
Author: wonderchook,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-08 14:25:09

Zobacz stronę OWASP aby uzyskać przykłady.

 0
Author: S.Lott,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-08 13:11:42