/ / Welche SQL-Injection-Syntax sollte ich in Payload der Rest-API senden, um sie ordnungsgemäß zu testen - API, Sicherheit, SQL-Injektion

Welche SQL-Injektionssyntax sollte ich in die Nutzlast der Rest-API senden, um sie richtig zu testen - api, security, sql-injection

Wir erstellen eine API-Automatisierungssuite und müssen SQL Server-Injection-Testfall schreiben / testen.

Ich habe SQLMAP für dieselbe verwendet, um meine API für SQL-Injektion zu testen. Jetzt muss ich einige Parameter in meinem Testskript senden, um diese Testfälle zu testen.

Ich habe folgende Syntax ausprobiert: -

  • oder 1 = 1

  • 1 = 1

  • "ODER" = "

Was kann ich noch probieren? Funktioniert es auch mit der JSON Payload POST-Anforderung oder sollte ich dies nur für die GET-Anforderung versuchen.

Bitte schlagen Sie eine gute Vorgehensweise vor, damit ich meine Aufgabe richtig ausführen kann

Antworten:

2 für die Antwort № 1

Sie können mit einer der verschiedenen Sammlungen von SQL Injection- und XSS-Payload-Strings beginnen, die auf GitHub gehostet werden. Zum Beispiel: SQL / XSS-Injektionszeichenfolgen. Wenn Sie ernsthafte Tests auf Schwachstellen durchführen möchten, sollten Sie ein bewährtes Durchdringungstest-Framework wie Kali Linux oder ein SQL Injection-Tool.

Verwandte Fragen

Ist das SQL Injection? [geschlossen] - SQL-Injektion, Code-Injektion
Wie überprüfe ich SQL Injection und andere PHP-Schwachstellen auf meiner Website? - SQL-Injektion, CSRF, XSS
SQL Injection-kompromittierte Site? - Sicherheit, SQL-Injektion
Werden durch die Verwendung von sicheren Protokollen wie HTTPS oder SFTP SQL-Injection- und XSS-Attacken verhindert? Warum? - Sicherheit, XSS, SQL-Injektion
Beste Dependency Injection Technologie für Play Framework [geschlossen] - playframework
Sollte ich noch fliehen? $ _GET und XSS, SQL Injection und andere PHP-Sicherheitsaspekte - PHP, Sicherheit, SQL-Injektion, MySQL-Real-Escape-String, XSS
verhindern Sie blinde SQL-Injektion [duplizieren] - PHP, MySQL, SQL-Injektion
Sind häufige Beispiele für SQL-Injection fehlgeleitet? [geschlossen] - PHP, SQL, Sicherheit, MySQL, SQL-Injektion
Wird diese SQL-Injektionsprävention theoretisch funktionieren? - PHP, Sicherheit
Kann in diesem Fall eine SQL-Injection durchgeführt werden? [Duplikat] - PHP, MySQL, SQL-Injektion
Perl Open () Injektionsprävention - Perl, Sicherheit, Schutz, Code-Injektion
Ist SqlCommand.Parameters.AddWithValue injection sicher? - .net, Parameter, sql-injection, sqlcommand, sql-parametrisierte Abfrage
Ist es möglich, SQL-Injection auf einem Server durchzuführen, der eine andere Datenbank als MySQL verwendet? [geschlossen] - MySQL, SQL, Sicherheit, SQL-Injektion
Ist IQQueryable SQL Injection Proof mit Entity Framework? - Entity-Framework, linq, sql-injection, iqueryable
Was bedeutet "Injection" in Constructor Injection und Dependency Injection - Abhängigkeitsinjektion, Konstruktorinjektion
Dependency Injection (Konstruktor) mit WebForms? - Abhängigkeitsinjektion, Webforms, asp.net-4.0
Was ist die Aufgabe der Abhängigkeitsinjektion? [duplizieren] - Abhängigkeitsinjektion
Konstruktoreinspritzung arbeitet ... Eigenschafteinspritzung nicht so viel - c #, .net, Abhängigkeiteinspritzung, Kabine
Unterschied zwischen Betriebssystem-Injektion und Betriebssystem-Befehls-Injektion - Code-Injektion