test site sheet script reflected online injection cross cheat attack testing xss sql-injection

testing - site - ¿Tiene alguna Prueba de Inyección SQL "Munición"?



xss javascript (5)

He encontrado algunos buenos complementos de Firefox que hacen el truco.

XSS Yo

SQL Inject Me

Al leer sobre SQL Injection y XSS me preguntaba si ustedes tienen una sola cadena que podría usarse para identificar esas vulnerabilidades y otras.

Una cadena que podría ser arrojada a una base de datos de un sitio web para verificar si ese campo es seguro o no. (va a hacer una gran prueba en algunas herramientas internas)

Ejemplo difícil, preguntándose si ustedes saben de más?

"a" o "1" = "1"

"center ''> <script> alerta ('' prueba '') </ script>"

EDITAR: Encontré una buena pregunta XSS en SO

Honestamente, hay algunas herramientas que son una buena prueba para la inyección de SQL, pero sinceramente, no reemplazan totalmente las pruebas manuales y la revisión de código de manera ideal.

Para usar su ejemplo, hay situaciones donde "or (1 = 1)" no funciona pero "o / ** / (1 = 1); -" hace.

A veces, ajustar ciertas cadenas proporcionará resultados diferentes, dependiendo de aspectos como la codificación de caracteres y la creatividad general. También vale la pena mencionar que a veces no está seguro de las herramientas de terceros en su aplicación web. Nunca subestimes la creatividad de las personas, especialmente si tienes un sitio web público.

Esta es una buena trampa .

Para hacer mis pruebas, utilizo Paros , tiene una herramienta de escaneo de sitios web interesante que también puede ejecutar que también encuentra algunos problemas.

Esta pregunta lleva la repetición de esta caricatura de inyección SQL .

Vea el sitio de OWASP para ejemplos.