Bạn có bất kỳ thử nghiệm SQL Injection "Ammo"?

Question

Khi đọc về SQL Injection và XSS tôi đã tự hỏi nếu các bạn có một chuỗi có thể được sử dụng để xác định những lỗ hổng và những người khác.

Một chuỗi có thể được đưa vào cơ sở dữ liệu trang web để hộp đen kiểm tra xem trường đó có an toàn hay không. (sẽ thực hiện một thử nghiệm lớn trên một vài công cụ trong nhà)

Ví dụ thô lỗ, tự hỏi các bạn có biết nhiều hơn không?

"a' hoặc '1'= '1"

"trung tâm '> < script> alert (' test') </script> "

EDIT: Tìm thấy một đẹp XSS question trên SO

Answer 1

Tôi đã tìm thấy một số addons firefox đẹp để thực hiện thủ thuật.

XSS Me

SQL Inject Me

Answer 2

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

Bao gồm phiên bản dành cho hầu hết các DBS, bao gồm Hex thủ thuật mà bỏ qua thoát tiêu chuẩn.

Answer 3

Xem trang web OWASP để biết ví dụ.

Answer 4

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet có rất nhiều ví dụ để thử nghiệm tính năng chèn SQL.

Answer 5

Thành thật mà nói, có một số công cụ khá tốt để thử nghiệm cho SQL Injection, nhưng thực ra chúng không thay thế hoàn toàn việc kiểm tra thủ công và xem xét mã lý tưởng.

Để sử dụng ví dụ của bạn, có các tình huống trong đó "hoặc (1 = 1)" không hoạt động nhưng "hoặc/**/(1 = 1); -".

Đôi khi việc chỉnh sửa các chuỗi nhất định sẽ cung cấp các kết quả khác nhau, tùy thuộc vào những thứ như mã hóa ký tự và tính sáng tạo chung. Nó cũng đề cập đến rằng đôi khi bạn không an toàn từ các công cụ của bên thứ 3 trong ứng dụng web của bạn. Không bao giờ đánh giá thấp sự sáng tạo của con người, đặc biệt là nếu bạn có một trang web công cộng.

Đây là một số khá tốt cheatsheet.

Để làm thử nghiệm của tôi, tôi sử dụng Paros, nó có một công cụ quét trang web thú vị mà bạn cũng có thể chạy tìm thấy một số vấn đề là tốt.

Câu hỏi này mang lặp lại của phim hoạt hình SQL Injection này.