关于SQL注入
网上搜集的关于SQL注入的资料好多关于登陆验证和类似于网址是http://.../id=1 的注入。但现在做WEB系统的好多都应用框架,整个系统显示的网址就一个(登陆界面除外),这样的该如何进行SQL注入验证。 你用httpwatch之类的工具,查看实际请求的URL httpwatch主要功能是什么,我试用了一下不知道是干什么的,他主要用来检查什么,请指教 原帖由 msnshow 于 2010-5-5 13:14 发表 http://bbs.51testing.com/images/common/back.gif
你用httpwatch之类的工具,查看实际请求的URL
哦,明白了,还以为看实际的链接地址呢,直接wireshark抓包就可以了,http请求head中get或者post的地址
[ 本帖最后由 xiaoyaoke 于 2010-5-7 17:26 编辑 ] 只要是B/S应用,都会有使用到HTTP协议,抓包分析,然后修改数据包重新发送能检查结果。
web的安全测试,不局限于浏览器的URL,你说的应该指POST,POST不会直接在地址栏显示 web的安全检查主要检查哪些方面,就是测试用例如何设计 嗯,学习啦!我现在测的网站就是所有的操作就只有一个url。 :)开始重点学习安全性测试:dizzy:
页:
[1]