SQL注入漏洞频繁出现的位置
URL参数
HHTP包头
搜索框
目录名
文件名
和数据库进行交互的地方,可以会没有经过检查和过滤就被代入到SQL语句中执行
最普遍的注入漏洞是由于参数值过滤不严导致的
SQL注入漏洞如何寻找
使用工具
优:自动化,范围广,效率高
缺:误报,漏报,测试方法有限
手工测试
优:测试方法灵活
缺:效率低,范围窄,因测试者水平技术而议
SQL注入漏洞判断依据
常见SQL测试语句及技巧
URL参数
HHTP包头
搜索框
目录名
文件名
和数据库进行交互的地方,可以会没有经过检查和过滤就被代入到SQL语句中执行
最普遍的注入漏洞是由于参数值过滤不严导致的
优:自动化,范围广,效率高
缺:误报,漏报,测试方法有限
优:测试方法灵活
缺:效率低,范围窄,因测试者水平技术而议