Computerbeveiliging - Hoe je bad guys buiten de deur houdt

snelle SQL

16-09-2012, 20:38 door blackyy, 5 reacties
hoi,

Sorry dat ik weer wat vraag :P

Maar hoe kan je snel zien of een pagina gevoelig is voor SQL injectie?

Kun je dat doen door er een speciale sql code voor te zetten?

Bedankt voor reacties!
Reacties (5)
16-09-2012, 20:50 door Ler0y JenKins
Ummm... dan moet je van die tools downloaden.

Havij is er eentje geloof ik, die heb ik wel eens gebruikt. Dan kan je zien of de website kwetsbaar is voor SQL injections.

Je weet toch dat SQL Injections maken illegaal is? Tenzij het voor educatieve redenen is.
16-09-2012, 20:56 door blackyy
Bedankt!
16-09-2012, 21:17 door yobi
Een eerste check is invullen van ' (de enkele quote). Indien er een foutmelding verschijnt, dan is de site zeker kwetsbaar. Vroeger was het erg eenvoudig door in te loggen met ' or 1=1;-- . Men logt dan in als de eerste gebruiker in de database (meestal de administrator).

Leuk om te beginnen:
http://zero.webappsecurity.com/
16-09-2012, 21:19 door yobi
Een nog leukere site:
http://demo.testfire.net/
17-09-2012, 09:52 door Anoniem
Afhankelijk zijn van foutmeldingen is niet slim, wat nou als die niet geprint worden (wat vaak zo is)? Evenmin als afhankelijk zijn van een tooltje (zoals Havij oid). Beter kun je iets verzinnen waardoor je zonder externe afhankelijkheden simpel kunt testen of iets vatbaar is voor SQLi.

Je kunt bijvoorbeeld met een AND een heel eind komen. Inject eerst AND 1=1 en kijk of deze pagina gelijk is aan het origineel. Inject daarna AND 1=2 en kijk of de pagina nu veranderd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search