题目描述
分类列举sql注入常用判断方法?
有的童鞋说题目答案有问题的话点纠错就好啦,或者直接把题目告诉牛妹哦~~~
不
要
看
哦
,
做
完
题
再
看
!
参考答案:
1.整形参数判断
通常news.asp中SQL语句原貌大致如下:
select * from 表名 where 字段=xx,所以可以用以下步骤测试SQL注入是否存在。
最简单的判断方法
http://xxx/news.asp?id=xx’(附加一个单引号),
1. 字符串型参数判断
通常news.asp中SQL语句原貌大致如下:
select * from 表名 where 字段='xx',所以可以用以下步骤测试SQL注入是否存在。
http://xxx/news.asp?id=xx’(附加一个单引号),此时news.asp中的SQL语句变成了
select * from 表名 where 字段=xx’,news.asp运行异常;
http://xxx/news.asp?id=xx and '1'='1', news.asp运行正常,
而且与 http://www.hackbase.com/news.asp?id=xx运行结果相同;
http://xxx/news.asp?id=xx and '1'='2', news.asp运行异常;
如果以上满足,则news.asp存在SQL注入漏洞,反之则不能注入