首页/CSS代码外包/关于数据库注入测试的一点小技巧

关于数据库注入测试的一点小技巧

发布-xiaoming | 浏览量-

关于注入测试的一点小技巧

应用于某些代码的白、黑盒测试。

在一个程序中,明显的,他过滤了很多的关键字,包括单引号and,or等。
对于这种程序,字符形的注入首先就要排除了。因为其过滤了单引号,至少我找不到闭合的办法。

现在说说数字形的注入的测试。

比如在某一个语句中:
select * from admin where id=fengzi

后面的fengzi我们可以自定义。
但是已经过滤了and等关键字符。
于是我们可以采用下面的方式来测试:
fengzi=1%2b1
如果能传入到数据查询语句,就变成了
select * from admin where id=1+1
如果和select * from admin where id=2的结果是一样的。
我们就可以判断出,fengzi这个参数并没有作数字形的验证。那这个地方就是可以注入的。
至于怎么绕过关键字的检测,不妨考虑eqv lmp xor等不常用的逻辑运算符来组合等各种有效措施。

这样的测试,在ASP的检测中,效果非常明显,包括了洞易等程序,进行黑盒测试的时候,就会发现非常多的问题。
 

原文地址:http://www.35ui.cn/post/20090428803.html

标签seo网站优化ps网页切图北京网页制作做网页北京网页设计培训网页设计培训班做网页常用代码

上一条: 2009最新更新跨站挂马全攻略
下一条: 同意男人都是被女人伤害过才会变坏?

或许你还对下面的文章感兴趣