设为首页收藏本站
开启辅助访问 软件测试门户软件测试培训软件测试论坛测试解决方案文章资料精选软件测试博客软件测试招聘

51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

51Testing软件测试论坛 »软件测试论坛 [管理工具] [安全测试工具] 注入式攻击
返回列表 发新帖
查看: 3445|回复: 9
打印 上一主题 下一主题

注入式攻击

[复制链接]
huilin.gao
  • TA的每日心情
    郁闷
    2016-6-2 16:41

    • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵
    跳转到指定楼层
    1#
    发表于 2010-3-1 16:36:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    用户名:abc’ = 1‘
    密码:123
    登录,出现sql语法错误
    这样子算不算sql注入成功?
    在线等待指教
    攻击, 注入式
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    微信
    收藏收藏

    相关帖子

    【你来问我来答第140期】:敏捷测试的奥秘与挑战:问答专场!
    回复

    使用道具 举报

    gaha

    该用户从未签到
    2#
    发表于 2010-3-1 16:49:27 | 只看该作者
    应该不算吧?没涉及到SQL相关的语法阿,这条语句是一个不合法的赋值语句阿。
    回复 支持 反对

    使用道具 举报

    bill_hen

    该用户从未签到
    3#
    发表于 2010-3-2 07:41:11 | 只看该作者
    The fact '出现sql语法错误' indicates that the user input is not sanitized properly
    and the system may indeed have a SQL injection vulnerability.
    While  abc’ = 1' may not do any harm, an attacker can change it to, say,
    abc';DROP TABLE users;...., now you may see some bad things.
    【你来问我来答第140期】:敏捷测试的奥秘与挑战:问答专场!
    回复 支持 反对

    使用道具 举报

    huilin.gao
  • TA的每日心情
    郁闷
    2016-6-2 16:41

    • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵
    4#
     楼主| 发表于 2010-3-2 16:32:48 | 只看该作者

    回复 2# 的帖子

    那我如何验证登录是否存在sql注入呢
    回复 支持 反对

    使用道具 举报

    gaha

    该用户从未签到
    5#
    发表于 2010-3-3 09:21:33 | 只看该作者
    原帖由 huilin.gao 于 2010-3-2 16:32 发表
    那我如何验证登录是否存在sql注入呢



    有一个工具可以,批处理检查网站的所有页面是否存在被注入攻击的漏洞,至于有效性需要验证,至少可以参考一下。留邮箱吧。
    回复 支持 反对

    使用道具 举报

    willingchenlp

    该用户从未签到
    6#
    发表于 2010-3-3 09:40:53 | 只看该作者
    willingchenlp@sina.com
    谢谢了!
    【你来问我来答第140期】:敏捷测试的奥秘与挑战:问答专场!
    回复 支持 反对

    使用道具 举报

    davids

    该用户从未签到
    7#
    发表于 2010-3-3 14:37:45 | 只看该作者
    5楼的,请把那个工具也发我邮箱一遍吧,万分感激~~
    wakin1997@163.com
    回复 支持 反对

    使用道具 举报

    huilin.gao
  • TA的每日心情
    郁闷
    2016-6-2 16:41

    • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵
    8#
     楼主| 发表于 2010-3-3 15:29:27 | 只看该作者
    ghl_1986@yeah.net
    谢谢
    回复 支持 反对

    使用道具 举报

    gaha

    该用户从未签到
    9#
    发表于 2010-3-3 15:35:13 | 只看该作者
    诶,真不好意思,那个工具被我的卡巴斯基干掉了……
    各位需要的话在网上搜索:注入式攻击检查工具吧,我记得作者是小榕~~
    【你来问我来答第140期】:敏捷测试的奥秘与挑战:问答专场!
    回复 支持 反对

    使用道具 举报

    男孩子

    该用户从未签到
    10#
    发表于 2010-3-7 21:43:48 | 只看该作者
    SQL注入不在报不报SQL异常,主要是看前端提交的数据有没有改变SQL的执行逻辑。
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-8 18:45 , Processed in 0.067730 second(s), 25 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表