Ako zistit či je stránka náchylná k SQL Injection

HackForum

Ako zistit či je stránka náchylná k SQL Injection#
Hojte všetci. Ako by sa dalo zistit vo velkom či su neaké stránky náchylné k XSS, alebo SQL injection napr: niečím takým ako je googlebot že bude vyhladávať cez google samotné stránky u ktorých sa potvrdí neaký skript ako alert?
(odpovědět)
mical_X | E-mail29.8.2011 0:03
re: Ako zistit či je stránka náchylná k SQL Inject#
Alebo len ako sa to dá zistit na stránke +- stačí to skúšať vo vxyhladávačoch? dať tam napr alert("XSS") a stiahol som si ten BEeF Xss dal som ho na web spustil vytvoril druhe ftpčko a tam som dal web a do toho script aby kto bude na tej stránke bol zombie ale nič skušal som to na druhom PC a nič... neviem si ešte s týmto rady pls pomoc.
(odpovědět)
mical_X | E-mail29.8.2011 10:33
re: Ako zistit či je stránka náchylná k SQL Inject#
Ručně, nebo scannerem. Jakmile to jednou pochopíš a nasbíráš dost způsobů, nic ti nebrání si takový scanner napsat.
(odpovědět)
Bystroushaak_ | 83.208.175.*29.8.2011 17:16
re: Ako zistit či je stránka náchylná k SQL Inject#
Záleží o jaký typ SQL injection se jedná. Žádny scanner nedokáže detekovat všechny možné SQL injekce. Ale obecně není problém si takový scanner napsat. A není na to ani potřeba extra moc vědomostí.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website29.8.2011 17:35
re: Ako zistit či je stránka náchylná k SQL Inject#
Tak jasně, proto jsem psal "dost způsobů". Na běžnej scanner dokonalost nepotřebuješ, spíš je důležitější se někdy konečně rozhoupat, začít sice s málem, ale začít a ne jen o tom kecat (jak mají v oblibě mnozí co znám :P).

Osobně jsem do sqli nikdy nedělal (pár tutů jsem přečetl, ale vždy mi to přišlo jako strašná nuda), ale před pár lety, když jsem byl ještě nadšený do xss wormů jsem pokaždé narazil na něco co posunulo hranice trochu dál ve chvíli kdy už bych to nečekal. Imho vždy někdo objeví nějaký nový hack (ve smyslu neočekávaného využití stávajícího systému), který tě svým provedením a neotřelostí překvapí, což bude platit až do implementace výpočetně nenáročného, matematicky verifikovatelného programovacího jazyka.
(odpovědět)
Bystroushaak_ | 83.208.175.*30.8.2011 0:45
re: Ako zistit či je stránka náchylná k SQL Inject#
Zkus W3AF prez Backtrack 5.
(odpovědět)
xxx_pornomix | 94.142.234.*30.8.2011 7:50

Zpět
 
 
 

 
BBCode