软件测试软件测试软件测试

SQL注入:手工测试,预防注入漏洞

2018-12-25  本文已影响0人  云层_

执行以下操作,若出现错误提示,可能就存在注入漏洞

1、单引号 等特殊字符

            输入:     ' 、# 、 = 、 %  等等

           结果:如果出现错误提示如网络错误或者没反应(未给出无数据的提示),则该网站可能就存在注入漏洞。 

2、数字型判断是否有注入

            语句: and 1=1;and 1=2 (经典) 或   ' and '1'=1  (字符型)   或  1′ and 1=1 –+

            分析:and 的意思是“和”如果没有过滤我们的语句,and 1=1就会被代入sql查询语句进行查询, 如果and前后的两条语句都是真的话就不会出错,但如果前后语句有一个为假的话,程序就会暴错。 也就表明程序有注入漏洞 

3、%5c    

4、conn.asp

5、and%20ord(substr(database(),1,1))>80+–+

上一篇下一篇

猜你喜欢

热点阅读