在阅读有关SQL注入和XSS的消息时,我想知道你们是否有一个字符串可用于识别这些漏洞和其他漏洞。
可以抛入网站数据库以进行黑盒检查的字符串,检查该字段是否安全。 (要对一些内部工具进行大量测试)
粗略的例子,想知道你们是否知道更多?
“a'或'1'='1”
“center'> <script> alert('test')</ script>”
编辑:在SO上找到一个不错的XSS question
http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/
包括大多数DB的版本,包括绕过标准转义的Hex技巧。
老实说,有一些工具可以很好地测试SQL注入,但老实说,它们并不能完全取代手动测试和代码审查。
要使用您的示例,有些情况下“或(1 = 1)”不起作用,但“或/ ** /(1 = 1); - ”。
有时调整某些字符串将提供不同的结果,具体取决于字符编码和一般创造力。还要提到的是,有时候您的Web应用程序中的第三方工具也不安全。永远不要低估人们的创造力,特别是如果你有一个公共网站。
这是一个非常好的cheatsheet。
要做我的测试我使用Paros,它有一个有趣的网站扫描工具,你也可以运行,也发现一些问题。
这个问题重复了这个SQL Injection卡通。
有关示例,请参阅OWASP网站。