你们有 SQL 注入测试“Ammo”吗？

Question

当阅读有关 SQL 注入和 XSS 的内容时，我想知道你们是否有一个字符串可以用来识别这些漏洞和其他漏洞。

可以将其放入网站数据库中以黑盒检查该字段是否安全的字符串。 （将对一些内部工具进行大型测试）

粗略的例子，想知道你们是否知道更多？

"a' 或 '1'='1"

"center'> < script>alert('test')< /script>"

编辑：在SO上发现了一个很好的XSS问题

Answer 1

我发现了一些不错的 Firefox 插件可以做到这一点。

XSS Me

SQL 注入我

Answer 2

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet 有很多测试 SQL 注入的示例。

Answer 3

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/< /a>

包括大多数数据库的版本，包括绕过标准转义的十六进制技巧。

Answer 4

老实说，有一些工具可以很好地测试 SQL 注入，但老实说，它们并不能理想地完全取代手动测试和代码审查。

要使用您的示例，有些情况下“or (1=1)”不起作用，但“or/**/ (1=1);--”起作用。

有时，调整某些字符串会提供不同的结果，具体取决于字符编码和一般创造力等因素。 还值得一提的是，有时您的 Web 应用程序中也无法免受第三方工具的影响。 永远不要低估人们的创造力，尤其是当您拥有公共网站时。

这是一个非常好的备忘单。

为了进行测试，我使用 Paros，它有一个有趣的网站扫描工具，您也可以运行它这也发现了一些问题。

这个问题重复了SQL注入漫画。

Answer 5

有关示例，请参阅 OWASP 站点。