SQL注入测试的测试点

最新推荐文章于 2024-05-15 23:16:18 发布
最新推荐文章于 2024-05-15 23:16:18 发布
阅读量3.3k 收藏 12
点赞数 3
分类专栏: 测试点 软件测试 软件测试的测试点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29656581/article/details/78222496
版权
本文详细列举了SQL注入测试的16个关键测试点,包括数字型和字符型输入检查、UNION查询、大小写与Unicode字符集测试、ASCII码利用、系统表与变量查询、函数利用以及对SQL敏感字符和错误信息的屏蔽等,旨在帮助检测和防止SQL注入漏洞。
摘要由CSDN通过智能技术生成

SQL注入测试的测试点

1.输入域的值为数字型,用1=1,1=2法

若满足条件,则存在SQL注入漏洞,程序没有对提交的整型参数的合法性做过滤或判断

2.输入域的值为字符型,用 ’1=1’, ’1=2’ 法

若满足条件,则存在SQL注入漏洞,程序没有对提交的字符型参数的合法性做过滤或判断

3.输入域中的值为搜索型,用’and [查询条件] and ‘%’=’% 等

若满足条件,则存在SQL注入漏洞,程序没有对提交的查询的合法性做过滤或判断

4.用UNION查询语句

利用Union可以连接查询,从而从其他表中得到信息

最低0.47元/天 解锁文章
狂飙兔
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入测试
澎湖Java架构师的博客
05-18 389
0x01 等保测评项 GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4.4安全计算环境—入侵防范项中要求包括: a)应遵循最小安装的原则,仅安装需要的组件和应用程序; b)应关闭不需要的系统服务、默认共享和高危端口; c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; f)应能够检
Web安全之SQL注入漏洞学习(三)-注入点的判断
u012002125的博客
10-02 3193
判断注入的关键点 是否存在SQL注入? 只要是带有参数的动态网页,并且这个网页访问了数据库,则该网页就可能存在SQL注入 属于哪一种SQL注入类型? 当确认了网页存在注入漏洞后就需要进一步判断该注入点属于哪一种注入类型,知道了注入类型才能根据其特点构造注入sql语句完成注入目的。 推断后端的真实SQL写法 推断后端的SQL的写法是非常重要的一步,只有推断出后端SQL语句的写法才能帮助我们完成后端SQL语句的闭合,比如知道传递的查询是=、like、in等。 单引号判断法 单引号判断法,即在输
SQL手工注入漏洞测试(MySQL数据库)
weixin_54227009的博客
12-15 945
SQL手工注入
SQL注入常见类型及注入点的判断
最新发布
qq_64395221的博客
05-15 862
字符注入的时候我们需要逃逸单引号,但是php提供了魔术引号开关magic_quotes_gpc和addslashes(),iconv()函数作为防御,特点是自动给传入的参数如单引号,双引号,反斜杠,%00前面加一个反斜杠,进行转义,避免单引号进行逃逸。id=1这种形式的url,这个时候我们输入and 1=1与and 1=2,进行判定看是否会出现and 1=1回显正常,and 1=2回显不正常的情况。sql语句的变量并不是直接传入的变量,而是通过其它的方式保存到了数据库,形成二次注入
SQL注入测试总结
热门推荐
07-11 4万+
SQL注入测试总结本文以MySQL数据库为例,其它数据库仅供参考。1 黑盒测试1.1 手工测试Web应用的主要注入点有:① POST请求体中的参数② GET请求头URL中的参数③ Cookie1.1.1 内联注入1、字符串内联注入测试字符串变种预期结果'N/ A触发数据库返回错误。' OR '1' = '1') OR ('1' = '1永真,返回所有行。value' OR '1' = '2valu...
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
SQL注入安全测试工具
04-25
SQL注入测试工具的工作原理主要包括以下几个步骤: 1. **探测**:首先,工具会尝试识别网站的参数化查询方式,这是SQL注入通常发生的地方。通过发送不同类型的输入,工具可以判断是否存在注入的可能性。 2. **枚举...
SQL注入测试工具,sqlmap工具
05-14
SQLMap是一款强大的自动化工具,专门用于检测和利用SQL注入漏洞,它广泛应用于Web应用的安全测试和评估。 SQLMap的工作原理主要基于以下几个方面: 1. **探测**:SQLMap通过发送不同类型的SQL查询到目标应用程序,...
SQL注入漏洞测试
09-12
SQL注入漏洞测试入门篇
C#防SQL注入代码的三种方法
09-04
主要介绍了C#防SQL注入代码的三种方法,有需要的朋友可以参考一下
手工注入方法,方便大家测试程序漏洞
daxin09的专栏
03-03 876
1、加入单引号 ’提交,  结果:如果出现错误提示,则该网站可能就存在注入漏洞。  2、数字型判断是否有注入; 语句:and 1=1 ;and 1=2 (经典)、' and '1'=1(字符型)  结果:分别返回不同的页面,说明存在注入漏洞.  分析:and 的意思是“和”如果没有过滤我们的语句,and 1=1就会被代入SQL查询语句进行查询, 如果and前后的两条语句都是真的话就不会
SQL注入攻击常见方式及测试方法
一个准备迈入社会的white的博客
06-24 4477
SQL注入攻击常见方式及测试方法
安全测试-sql注入搜索框
weixin_43793563的博客
07-29 4257
一、搜索型注入简介与原理1)简介 一些网站为了方便用户查找网站的资源,都对用户提供了搜索的功能,因为是搜索功能,往往是程序员在编写代码时都忽略了对其变量(参数)的过滤,而且这样的漏洞在国内的系统中普遍的存在: 其中又分为POST/GET,GET型的一般是用在网站上的搜索,而POST则用在用户名的登录,...
asp.net (c#)检测sql注入的类
马龙宁的专栏
01-25 1881
using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.WebControls;using System.Web.UI.WebControls.WebParts;using
如何对网站进行 SQL注入 测试
03-31
为了对网站进行 SQL注入测试,可以按照以下步骤进行: 1. 了解目标网站的数据库类型:在进行 SQL注入测试之前,需要了解目标网站使用的数据库类型,例如 MySQL、Oracle、SQL Server等,以便选择相应的 SQL注入工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值