¿Tiene alguna Prueba de Inyección SQL "Munición"?

Question

Al leer acerca de SQL Injection y XSS me preguntaba si ustedes tienen una sola cadena que podría usarse para identificar esas vulnerabilidades y otras.

Una cadena que podría ser arrojada a la base de datos de un sitio web para comprobar si ese campo es seguro o no. (va a hacer una gran prueba en algunas herramientas internas)

Ejemplo bruto, preguntándose si ustedes saben de más?

"A' o '1'= '1"

"centro '> < script> alert (' prueba') </script> "

EDIT: Encontrado un buen XSS question en SO

Answer 1

He encontrado algunos buenos complementos de Firefox que hacen el truco.

XSS Me

SQL Inject Me

Answer 2

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

Incluye versiones para más DBs, incluidos los de Hex que omiten escape estándar.

Answer 3

Consulte el sitio OWASP para ver ejemplos.

Answer 4

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet tiene muchos ejemplos para probar la inyección SQL.

Answer 5

Honestamente, hay algunas herramientas que son una buena prueba para la inyección de SQL, pero sinceramente no reemplazan completamente las pruebas manuales y la revisión de código idealmente.

Para usar su ejemplo hay situaciones donde "o (1 = 1)" no funciona pero "o/**/(1 = 1); -" hace.

A veces ajustar ciertas cadenas proporcionará resultados diferentes, dependiendo de aspectos como la codificación de caracteres y la creatividad general. También vale la pena mencionar que a veces no está seguro de las herramientas de terceros en su aplicación web. Nunca subestimes la creatividad de las personas, especialmente si tienes un sitio web público.

Esta es una muy buena cheatsheet.

Para hacer mi prueba Yo uso Paros, tiene una herramienta de escaneo de sitios web interesante que también puede ejecutar que también encuentra algunos problemas.

Esta pregunta lleva la repetición de esta caricatura SQL Injection.