Al leer acerca de Inyección SQL y XSS me preguntaba si ustedes tienen una sola cadena que podría ser utilizada para identificar las vulnerabilidades y otros.

Una cadena que podría ser lanzado en un sitio web de la base de datos a la caja negra comprobar si el campo es seguro o no. (vamos a hacer una prueba grande en un par de internos de herramientas)

Áspero ejemplo, se preguntaba si ustedes saben de más?

«una’ o ‘1’=’1»

«center» > < script>alert(‘prueba’)< /script>»

EDIT: Encontré una buena XSS pregunta en TAN

InformationsquelleAutor | 2008-11-08

5 Comentarios

  1. 1

    Honestamente hay algunas herramientas que son bastante buenas pruebas para la Inyección de SQL, pero honestamente no sustituir completamente el manual de pruebas y la revisión del código de forma ideal.

    A utilizar su ejemplo, hay situaciones en las que «o (1=1)» no funciona, pero «o/**/(1=1);–» no.

    A veces ajustar ciertas cadenas de proporcionar resultados diferentes, dependiendo de cosas como la codificación de carácter general y de creatividad. También vale la pena mencionar que a veces no están a salvo de la 3ª parte de las herramientas de la aplicación web así. Nunca hay que subestimar la creatividad de la gente, especialmente si usted tiene un sitio web público.

    Esta es una muy buena cheatsheet.

    Para hacer mis pruebas yo uso Paros, tiene un sitio web interesante herramienta de análisis que también puede ejecutar que se encuentra algunos problemas así.

    Esta cuestión lleva a la repetición de este La Inyección de SQL de dibujos animados.

Dejar respuesta

Please enter your comment!
Please enter your name here