SQL注入过滤测试
2021-01-20 11:37:11 0 举报
SQL注入过滤测试
作者其他创作
大纲/内容
Y
N
进行特殊单词过滤检测判断,例如id=6and,id=6sleep(5),id=6'等
绕过成功?
是否与id=6相同
后台存在数据类型转换或没有引用参数,不存在sql注入
返回结果为空,说明这些单词没被过滤,尝试单词组合,如id=6 and 等等
继续测试,直至测出sql注入存在为止
找不到绕过方式,怀疑白名单或无法绕过,不存在sql注入
目标单词组合被过滤,尝试替换绕过
fuzz测试id=id=6asidjipqwjqj!@#¥%&*()
返回结果为空,说明这些单词组合没被过滤
若进行更多的单词组合尝试后任然为空,则结合先前的步骤,可判断为不存在sql注入
目标单词被过滤,尝试替换绕过
0 条评论
下一页