/ / Akú syntax injekcie SQL mám poslať v užitočnom množstve zvyšku API, aby som to správne otestoval - API, zabezpečenie, SQL Injection

Aké syntax SQL injection by som mal poslať v užitočnom zaťažení odpočinku API, aby som to správne otestoval - api, security, sql-injection

Vytvárame automatizačný balík API a musíme napísať / otestovať testovací prípad sql injection.

Použil som SQLMAP na to isté, aby som otestoval svoje API pre sql-injection. Teraz musím do testovacieho skriptu poslať nejaký parameter, aby som tieto testovacie kufre otestoval.

Skúšal som syntax ako: -

  • alebo 1 = 1

  • "1" = "1"

  • „OR“ „=“

Čo iné môžem vyskúšať. Funguje to aj s požiadavkou JSON Payload POST alebo by som to mal vyskúšať iba pre GET požiadavku.

navrhnite dobrý prístup, aby som mohol svoju úlohu splniť správne

odpovede:

2 pre odpoveď č. 1

Mohli by ste začať použitím jednej z niekoľkých kolekcií reťazcov SQL Injection a XSS payload hostených na GitHub. Napríklad: SQL / XSS injekčné reťazce. Ak chcete vážne testovať zraniteľnosti, mali by ste použiť osvedčený rámec testovania penetrácie ako Kali Linux alebo a Nástroj SQL Injection.

Súvisiace otázky

Je toto SQL Injection? [zatvorené] - sql-injection, kódovanie
ako skontrolovať sql injekciu a inú zraniteľnosť php na mojej stránke? - sql-injekcia, csrf, xss
SQL Injection Kompromitované stránky? - bezpečnosť, sql-injection
Bude používanie zabezpečených protokolov, ako je HTTPS alebo SFTP, eliminovať SQL injection a útoky XSS? Prečo? - bezpečnosť, xss, sql-injection
Najlepšia technológia vstrekovania Dependecy pre platformu Play [zatvorené] - hrací rámec
Mal by som ešte uniknúť? $ _GET a XSS, SQL Injection a ďalšie bezpečnostné otázky týkajúce sa PHP - php, security, sql-injection, mysql-real-escape-string, xss
zabrániť slepému SQL injection [duplicate] - php, mysql, sql-injection
Sú bežné príklady zabudovania SQL nesprávne? [zatvorené] - php, sql, security, mysqli, sql-injection
Bude táto prevencia injekcie SQL fungovať teoreticky? - php, bezpečnosť
Mohlo by sa v tomto prípade vykonať SQL injection? [duplicitné] - php, mysql, sql-injection
perl open () prevencia vstrekovania - perl, bezpečnosť, ochrana, kódovanie
Je injekcia SqlCommand.Parameters.AddWithValue bezpečná? - .net, parametre, sql-injection, sqlcommand, sql-parametrized-query
Je možné vykonať SQL injection na serveri, ktorý používa databázu inú ako MySQL? [zavreté] - mysql, sql, security, sql-injection
Je IQueryable SQL injection proof using Entity Framework? - entity-framework, linq, sql-injection, iqueryable
Čo znamená "vstrekovanie" vo vstrekovacom systéme vstrekovanie a závislosť - vstrekovanie, vstrekovanie konštruktéra
Závislosť vstrekovanie (Constructor) s WebForms? - závislosť-injekcia, webforms, asp.net-4.0
Aká je práca s injekčnou závislosťou? [duplikát] - závislosť - injekcia
Injektovanie konštruktérov ... Injektovanie nehnuteľností nie je toľko - c #, .net, závislosť-vstrekovanie, kabína
Rozdiel medzi vstrekovaním systému OS a vstrekovaním operačného systému - vstrekovanie kódu