关于SQL注入

jiachang · 发表于 2010-5-4 16:50:33

网上搜集的关于SQL注入的资料好多关于登陆验证和类似于网址是http://.../id=1 的注入。
但现在做WEB系统的好多都应用框架，整个系统显示的网址就一个（登陆界面除外），这样的该如何进行SQL注入验证。

msnshow · 发表于 2010-5-5 13:14:59

你用httpwatch之类的工具，查看实际请求的URL

姜丹 · 发表于 2010-5-7 10:21:33

httpwatch主要功能是什么，我试用了一下不知道是干什么的，他主要用来检查什么，请指教

xiaoyaoke · 发表于 2010-5-7 17:25:25

原帖由 msnshow 于 2010-5-5 13:14 发表
你用httpwatch之类的工具，查看实际请求的URL

哦，明白了，还以为看实际的链接地址呢，直接wireshark抓包就可以了，http请求head中get或者post的地址

[ 本帖最后由 xiaoyaoke 于 2010-5-7 17:26 编辑 ]

libertyer · 发表于 2010-5-11 17:41:48

只要是B/S应用，都会有使用到HTTP协议，抓包分析，然后修改数据包重新发送能检查结果。
web的安全测试，不局限于浏览器的URL，你说的应该指POST，POST不会直接在地址栏显示

jiachang · 发表于 2010-5-14 15:11:54

web的安全检查主要检查哪些方面，就是测试用例如何设计

moyiyun · 发表于 2011-11-16 11:54:08

嗯，学习啦！我现在测的网站就是所有的操作就只有一个url。

SariyaLee · 发表于 2011-11-16 13:35:28

开始重点学习安全性测试

		自动登录	找回密码
密码			(注-册)加入51Testing

站长推荐 /1