还剩2页未读,继续阅读
文本内容:
安全性测试分享之SQL注入电脑资料安全性测试是指机密的数据确保其机密性以及用户只能在其被授权的范围进行操作的这样一个过程例如a机密内容不暴露给不被授权的个人或用户实体b用户不能单方面有权限屏蔽掉网站的某一功能安全性测试有哪些方面?SQL Injection(SQL注入)Cross-site scriptXSS跨站点脚本攻击CSRF跨站点伪造请求URL跳转Directory Traversal目录遍历Email HeaderInjection邮件标头注入exposed errormessages错误信息SQL Injection应该称为SQL指令植入式攻击,它是描述一个利用写入特殊SQL程序码攻击应用程序的动作.用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入.如何判断sql注入存在的情况通常情况下,SQL注入一般存在于带有参数传递的URL页面例如://xxx.xxx.xxx/abc.aspid=XX有时一个动态网页中可能只有一个参数,有时可能有N个参数,有时是整型参数,有时是字符串型参数,不能一概而论,例如搜索页面页面提交评论页面等等.判断过程带有参数传递的URLaipai.
163./s/trade/orderDetail/orderId=183004提交查询的数据库SQL为select*from orderwhere id=
183004.测试SQL注入是否存在方法
1、附加一个单引号:’...ail.htmoid=183004查询的SQL select*from orderswhere id=183004’运行异常
2、附加“and1=1”...ail.htmoid=183004and1=1,查询的SQL:select*from orderswhere id=183004and1=1运行正常
3、附加“and1=2”...ail.htmoid=183004and1=2,查询的SQL:select*from orderswhere id=183004and1=2运行异常如果以上三步骤全面满足,那么...。