Haben Sie SQL Injection Tests "Ammo"?

Question

Beim Lesen über SQL Injection und XSS habe ich mich gefragt, ob Sie eine einzige Zeichenfolge haben, die verwendet werden könnte, um diese Sicherheitsanfälligkeiten und andere zu identifizieren.

Eine Zeichenfolge, die in eine Website-Datenbank in Blackbox geworfen werden könnte, überprüfen, ob dieses Feld sicher ist oder nicht. (Gehen Sie einen großen Test auf ein paar Inhouse-Tools)

Grobes Beispiel, wundernd, wenn Sie mehr wissen?

„a‘ oder '1' = '1"

„center '> < script> alert (' test') </script>"

EDIT: Gefunden ein schönes XSS question auf SO

Answer 1

Ich habe ein paar nette Firefox Addons gefunden, die den Trick machen.

XSS Me

SQL Inject Me

Answer 2

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

Versionen für die meisten DBs Enthält, einschließlich Hex Tricks, die Flucht umgehen Standard.

Answer 3

Siehe die OWASP Website für Beispiele.

Answer 4

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet hat viele Beispiele zum Testen der SQL-Injektion.

Answer 5

Ehrlich gesagt gibt es einige Tools, die ziemlich gut sind ein Test für SQL Injection, aber ehrlich gesagt ersetzen sie nicht vollständig manuelle Tests und Code-Review ideal.

Um Ihr Beispiel zu verwenden gibt es Situationen, in denen "oder (1 = 1)" nicht funktioniert, aber "oder/**/(1 = 1); -".

Manchmal führt das Anpassen bestimmter Strings zu unterschiedlichen Ergebnissen, abhängig von Zeichencodierung und allgemeiner Kreativität. Es muss auch erwähnt werden, dass Sie manchmal auch nicht vor Drittanbieter-Tools in Ihrer Webanwendung geschützt sind. Unterschätzen Sie niemals die Kreativität von Menschen, besonders wenn Sie eine öffentliche Website haben.

Dies ist eine ziemlich gute cheatsheet.

Um meine Tests zu machen benutze ich Paros, es hat eine interessante Website-Scan-Tool, das Sie auch ausführen können, die einige Probleme findet.

Diese Frage trägt die Wiederholung dieser SQL Injection Karikatur.