美文网首页软件测试软件测试软件测试
SQL注入:手工测试,预防注入漏洞

SQL注入:手工测试,预防注入漏洞

作者: 云层_ | 来源:发表于2018-12-25 12:16 被阅读0次

    执行以下操作,若出现错误提示,可能就存在注入漏洞

    1、单引号 等特殊字符

                输入:     ' 、# 、 = 、 %  等等

               结果:如果出现错误提示如网络错误或者没反应(未给出无数据的提示),则该网站可能就存在注入漏洞。 

    2、数字型判断是否有注入

                语句: and 1=1;and 1=2 (经典) 或   ' and '1'=1  (字符型)   或  1′ and 1=1 –+

                分析:and 的意思是“和”如果没有过滤我们的语句,and 1=1就会被代入sql查询语句进行查询, 如果and前后的两条语句都是真的话就不会出错,但如果前后语句有一个为假的话,程序就会暴错。 也就表明程序有注入漏洞 

    3、%5c    

    4、conn.asp

    5、and%20ord(substr(database(),1,1))>80+–+

    相关文章

      网友评论

        本文标题:SQL注入:手工测试,预防注入漏洞

        本文链接:https://www.haomeiwen.com/subject/rbbzkqtx.html