2011-07-09 73 views
4

我發現了很多注入密碼,錢和各種東西到其他網站的工具。如何在我的網站上手動嘗試SQL注入?

但是,我確定沒有人會對我網站上的所有表單進行操作。

所以,我想手動測試我的網站SQL注入。

什麼是在我的網站上嘗試SQL注入的好方法?

我是否需要數據庫的名稱,用戶名和密碼?我需要知道SQL端口號嗎?我如何開始?

回答

0

沒有100%可靠的工具,可以讓你知道你的網站是否容易受到SQL注入與否。如果有SQL注入不存在,它不會很有趣:-)雖然你可以結帳sqlmap。這裏有一個article描述你可能嘗試輸入的不同字符串。

3

看看this cheat sheet手動嘗試。 OWASP也涵蓋了theory。您應該熟悉它纔能有效地使用自動化工具。

Here是您可能使用的工具列表。

0

您需要檢查使用內聯sql查詢的步驟,這些查詢與用戶輸入串聯。用戶可以輸入一個完整的sql查詢,然後將其作爲子查詢執行。

檢查this也鏈接。

1

攻擊者不應該已經知道數據庫的密碼,但您可以假定您的表名和模式可以被猜出。

只需枚舉每個頁面所需的參數集(包括沒有表單實際鏈接的參數集和僅由隱藏參數填充的參數集),並嘗試將特殊字符(如引號)放入其中。如果在表單輸入中輸入O'Reilly會導致異常,那麼這是一個很好的改變' OR '' == '會導致比程序員預期的更多結果出現。

相關問題