rah*_*ari 1 mysql sql sql-injection
我想知道你是否曾经在网站上使用SQL注入进行道德黑客攻击.
你用过什么技巧/技巧(尤其是mysql)?
我在登录表单上使用了标准技巧:
user: admin
pass: ' OR '1'='1
如果您打算使用MySQL对应用程序进行道德黑客攻击或渗透测试,那么除了通用的SQL注入测试指南之外,您还会发现OWASP测试指南,特别是有关MySQL的部分具有巨大价值.
请注意,这不会对使用的框架或语言做出任何假设 - PHP,Java(包括Java EE,Spring等),因此在如何针对应用程序尝试SQL注入方面非常通用.将用户输入引入应用程序的数据库访问层所涉及的实际技术实际上因应用程序而异.解析HTTP请求的应用程序当然要求所有输入(URL参数,POST主体中的名称 - 值对,HTTP标头)都是可疑的.拥有不同的输入源(比如XML或JSON而不是简单的HTTP请求)将要求您以适当的方式提供SQL,这将被应用程序的解析器理解,最终导致SQL传输到执行数据库查询的层.
| 归档时间: |
|
| 查看次数: |
542 次 |
| 最近记录: |