51Testing软件测试论坛

标题: 网页版查询功能测试时在查询框输入%进行查询查询结果为所有内容算缺陷吗？ [打印本页]

作者: yangyan21 时间: 2019-5-23 16:47
标题: 网页版查询功能测试时在查询框输入%进行查询查询结果为所有内容算缺陷吗？
如题：
网页版查询功能测试时在查询框输入%进行查询查询结果为所有内容算缺陷吗？

作者: ff411 时间: 2019-5-23 18:14
安全漏洞

作者: 虫王戮蛊 时间: 2019-5-24 08:50
算，属于安全方面的数据库安全

作者: puchonghui 时间: 2019-5-24 09:31
如果什么都不输直接查询能返回所有内容吗？

作者: yangyan21 时间: 2019-5-28 15:27

puchonghui 发表于 2019-5-24 09:31
如果什么都不输直接查询能返回所有内容吗？

也是查询所有内容

作者: yangyan21 时间: 2019-5-28 15:31

虫王戮蛊发表于 2019-5-24 08:50
算，属于安全方面的数据库安全

实际中可能会出现怎样的数据库安全问题呢？有研究过吗？
想获取数据，首先得指导服务地址，还得通过验证权限，既然已经都到这一步了，也就能看到数据了

怎么说服开发去修改这个问题呢？

作者: yangyan21 时间: 2019-5-28 15:39

ff411 发表于 2019-5-23 18:14
安全漏洞

可能被怎么利用，有了解吗？

作者: puchonghui 时间: 2019-5-29 08:15

yangyan21 发表于 2019-5-28 15:27
也是查询所有内容

所以不要随便下结论，首先这是个问题，但是这个问题要分情况来看：
1 查询字段的字符串中，本身是否可能含有%
2 不输任何条件点查询，是否会返回所有内容

如果1=否
2=是
那改不改问题不大，

如果1=是，那查询结果应该返回所有该字段含有%的结果
如果2=否，那有可能是安全问题

作者: ff411 时间: 2019-12-11 17:45

yangyan21 发表于 2019-5-28 15:39
可能被怎么利用，有了解吗？

SQL注入

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)