安全测试-SQL注入

这篇具有很好参考价值的文章主要介绍了安全测试-SQL注入。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一 概述

SQL注入是针对一种数据库而言的,而不是针对网页语言。在任何使用了数据库查询环境下都可能存在。常见的数据库包括:MySQL、Oracle、Db2等。针对不同的数据库系统使用的一些函数会有所不同,不过从测试是否存在SQL注入的角度考虑,只需要进行几个最基本的判断语句就可以了。

由于SQL注入有可能造成信息泄漏,在严重情况下(根据使用的数据库而定)甚至可能造成数据修改、删除,从而导致业务中断。因此必须发现所有存在的注入点

二 说明

1、页面或者URL可能接受多个参数,需对每个参数都进行测试

2、如果客户端script对输入数据进行合法行校验,阻止非法数据,可以通过抓包拦截的方法修改输入数据,绕过客户端数据校验。

3、POST、AJAX以及隐藏域提交参数也需要测试,方法是通过抓包工具拦截HTTP请求,找到提交的参数并参照下面的方法修改参数值

三 手工测试方法

  1. 搜索型参数

http://127.0.0.1/sql.php?Parameter=James                  #正常查询数据
http://127.0.0.1/sql.php?Parameter=James'                 #页面异常或数据查询为空
http://127.0.0.1/sql.php?Parameter=James’and‘%’='         #正常查询数据
http://127.0.0.1/sql.php?Parameter=James'  and‘a%’='b     #查询数据为空或提示列表为空
  1. 数字型参数

http://127.0.0.1/sql.php?Parameter=10001                 #正常查询数据
http://127.0.0.1/sql.php?Parameter=10001'                #页面异常或数据查询为空
http://127.0.0.1/sql.php?Parameter=10001 and 1=1         #正常查询数据
http://127.0.0.1/sql.php?Parameter=10001 and 1=2         #查询数据为空或提示列表为空
  1. 字符型参数

http://127.0.0.1/sql.php?Parameter=James                 #正常查询数据
http://127.0.0.1/sql.php?Parameter=James'                #页面异常或数据查询为空
http://127.0.0.1/sql.php?Parameter=James’and‘1’=‘1       #正常查询数据
http://127.0.0.1/sql.php?Parameter=James'  and‘1’=‘2     #查询数据为空或提示列表为空
  1. 手工测试举例

前置条件:

  1. Web业务运行正常

  1. 已知待测目标URL,假设为GET http://test.pub.cn/api/v3/groups

  1. 待测目标存在参数输入,假设为groupid=45678

测试步骤:文章来源地址https://www.toymoban.com/news/detail-720291.html

    到了这里,关于安全测试-SQL注入的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

    本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

    领支付宝红包 赞助服务器费用

    相关文章

    • 信息安全性测试

      信息安全性测试是确保产品或系统能够有效地保护信息和数据,使得用户、其他产品或系统的访问权限与其授权类型和级别相一致的一系列检查过程。信息安全性测试也应该是一个持续的过程,确保信息系统能够抵御恶意攻击,并保护数据的完整性、可用性和保密性。通常与

      2024年02月20日
      浏览(40)
    • 20.安全性测试与评估

      每年都会涉及;可能会考大题; 多记!!! 典型考点:sql注入、xss; 从2个方面记: 1、测试对象的功能、性能; 2、相关设备的工作原理; 如防火墙,要了解防火墙的功能、工作原理; 主要议题:基本安全策略、数据库、操作系统、安全日志考察较多;其他议题偶尔涉及;

      2024年04月27日
      浏览(32)
    • 安全测试-SQL注入

      SQL注入是针对一种数据库而言的,而不是针对网页语言。在任何使用了数据库查询环境下都可能存在。常见的数据库包括:MySQL、Oracle、Db2等。针对不同的数据库系统使用的一些函数会有所不同,不过从测试是否存在SQL注入的角度考虑,只需要进行几个最基本的判断语句就可

      2024年02月08日
      浏览(38)
    • 安全与道路测试:自动驾驶系统安全性探究

      随着自动驾驶技术的迅速发展,如何确保自动驾驶系统的安全性已成为业界关注的焦点。本文将探讨自动驾驶系统的潜在风险、安全设计原则和道路测试要求。 自动驾驶系统在改善交通安全和提高出行效率方面具有巨大潜力,但其安全性仍面临许多挑战,主要包括: 技术故

      2023年04月25日
      浏览(45)
    • SQL注入测试-业务安全测试实操(10)

      测试原理和方法 SQL注入就是通过把SQL命令插入Web表单提交或输入域名页面请求的查询字符串最终达到欺骗服务器执行恶意的SOL命令的目的。具体来说,它是利用现有应用程序,将(恶意)SOL命令注入后台数据库引擎执行的能力,它可以通过在Web表单中输入 (恶意)SOL 语句获取一个

      2024年02月09日
      浏览(39)
    • Web安全:SQL注入漏洞测试.

      SQL注入就是 有些 恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信, 没有对用户插入的SQL语句进行任何的过滤 ,从而 直接被SQL语句直接被服务端执行 ,导致数据库的原有信息泄露,篡改,甚至被删除等风险。 SQL注

      2024年02月05日
      浏览(56)
    • Web安全:SQL注入漏洞测试(防止 黑客利用此漏洞.)

      SQL注入就是 有些 恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信, 没有对用户插入的SQL语句进行任何的过滤 ,从而 直接被SQL语句直接被服务端执行 ,导致数据库的原有信息泄露,篡改,甚至被删除等风险。 SQL注

      2024年02月13日
      浏览(40)
    • Web安全 SQL注入漏洞测试.(可以 防止恶意用户利用漏洞)

      SQL注入就是 有些 恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信, 没有对用户插入的SQL语句进行任何的过滤 ,从而 直接被SQL语句直接被服务端执行 ,导致数据库的原有信息泄露,篡改,甚至被删除等风险。 SQL注

      2023年04月20日
      浏览(51)
    • 机器人硬件在环仿真:解决实体开发与测试挑战,提升效率与安全性

      工业机器人具备出色的灵活性和运动能力,广泛应用于工业制造领域。它们可以完成装配、焊接、喷涂、搬运、加工、品质检测等任务,提高了生产效率,保证了产品质量。此外,在医疗领域也有辅助手术等特殊应用,展现了其在多个领域的重要作用。针对工业机器人控制系

      2024年02月07日
      浏览(42)
    • 加密数据安全性的两大安全护盾-前向安全性与后向安全性详解

      在数字安全的世界里,加密技术是用来保护数据不被未经授权访问的重要机制。然而,即使使用了最强的加密算法,也不能保证永远是安全的。攻击者可能会在未来某个时间点获得了解密密钥,从而能够解密拦截的密文。为了解决这个问题,密码学引入了前向安全性(Forwar

      2024年02月04日
      浏览(68)

    觉得文章有用就打赏一下文章作者

    支付宝扫一扫打赏

    博客赞助

    微信扫一扫打赏

    请作者喝杯咖啡吧~博客赞助

    支付宝扫一扫领取红包,优惠每天领

    二维码1

    领取红包

    二维码2

    领红包