Wie um zu überprüfen, ob es SQL-injection-Schwachstelle PROGRAMMGESTEUERT?
Sehe ich einige hack-tools können web-Seiten mit SQL-injection-Schwachstelle AUTOMATISCH.
Wie funktioniert es?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Sehe ich einige hack-tools können web-Seiten mit SQL-injection-Schwachstelle AUTOMATISCH.
Wie funktioniert es?
Du musst angemeldet sein, um einen Kommentar abzugeben.
In der Regel kann man eine Vermutung über die SQL-code-Struktur, um zu erlauben, die Injektion.
Beispielsweise, die mit einer anfälligen Benutzername/Passwort-Bestätigungs-code, wird es in den meisten Fällen so etwas wie:
so der hacker wird versuchen, Sie zu injizieren, so etwas wie:
also das Ergebnis wäre, dass count(*) wird > 0, also login akzeptiert.
Einen einfachen test können Sie einfach legen Sie ein einfaches Anführungszeichen in das Eingabefeld ein und sehen, wenn Sie eine mysql-Fehlermeldung zurück.
Wenn Sie etwas bekommen wie " Sie haben einen Fehler in Ihrer SQL-syntax; Lesen Sie im Handbuch, das entspricht Ihrer MySQL-server-version für den richtigen syntax zur Verwendung in der Nähe ""' at line 1 '
oder wenn Sie eine php/mysql-Fehler (das könnte wahrscheinlich werden programmgesteuert erkannt durch die Formatierung oder die häufige Fehlermeldung), dann sollte man auch wissen, Sie haben eine injection-Schwachstelle.
Wenn Sie nur eine generische " keine solche Benutzernamen oder ein gültiges leeres ResultSet zurück, dann werden Sie wahrscheinlich nicht haben eine injection-Schwachstelle.
Viele dieser tools eine Liste der Parameter, die bekannt sind, zu brechen, web-Seiten. Feuern Sie diesen Parameter aus, die in mehreren requestsm einsetzen der Parameter in:
Ihre Werkzeuge werden in der Regel Spinne die Website, um sicherzustellen, Sie sind zu schlagen, so viel von der Website wie möglich.
Einer der knifflige bit ist die Bestimmung, wenn Sie gefunden haben, eine verwertbare web-Seite. In manchen Fällen ist der web-server länger dauern kann, um retuen der Seite, oder bestimmte Teile der Seite könnte etwas anders sein. Dinge zu prüfen:
Nachdem alles gesagt, dass, wenn Sie tatsächlich Zugriff auf die Website der source-code, den Sie verwenden können, statische Analyse Techniken, um den Blick für Schwachstellen.