51Testing软件测试论坛

标题: 注入式攻击 [打印本页]
作者: huilin.gao    时间: 2010-3-1 16:36
标题: 注入式攻击
用户名:abc’ = 1‘
密码:123
登录,出现sql语法错误
这样子算不算sql注入成功?
在线等待指教
作者: gaha    时间: 2010-3-1 16:49
应该不算吧?没涉及到SQL相关的语法阿,这条语句是一个不合法的赋值语句阿。
作者: bill_hen    时间: 2010-3-2 07:41
The fact '出现sql语法错误' indicates that the user input is not sanitized properly
and the system may indeed have a SQL injection vulnerability.
While  abc’ = 1' may not do any harm, an attacker can change it to, say,
abc';DROP TABLE users;...., now you may see some bad things.
作者: huilin.gao    时间: 2010-3-2 16:32
标题: 回复 2# 的帖子
那我如何验证登录是否存在sql注入呢
作者: gaha    时间: 2010-3-3 09:21
原帖由 huilin.gao 于 2010-3-2 16:32 发表
那我如何验证登录是否存在sql注入呢



有一个工具可以,批处理检查网站的所有页面是否存在被注入攻击的漏洞,至于有效性需要验证,至少可以参考一下。留邮箱吧。
作者: willingchenlp    时间: 2010-3-3 09:40
willingchenlp@sina.com
谢谢了!
作者: davids    时间: 2010-3-3 14:37
5楼的,请把那个工具也发我邮箱一遍吧,万分感激~~
wakin1997@163.com
作者: huilin.gao    时间: 2010-3-3 15:29
ghl_1986@yeah.net
谢谢
作者: gaha    时间: 2010-3-3 15:35
诶,真不好意思,那个工具被我的卡巴斯基干掉了……
各位需要的话在网上搜索:注入式攻击检查工具吧,我记得作者是小榕~~
作者: 男孩子    时间: 2010-3-7 21:43
SQL注入不在报不报SQL异常,主要是看前端提交的数据有没有改变SQL的执行逻辑。



欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2