1. 首頁
  2. 問答
  3. 工具用於生成HTML後頁繞過JS驗證和測試SQL注入

工具用於生成HTML後頁繞過JS驗證和測試SQL注入

2009-12-10 84 views
1

我想的工具(或Firefox),該枚舉所有,元素的目標HTML頁面上,併產生我可以使用張貼到一個新的HTML頁原始頁面。工具用於生成HTML後頁繞過JS驗證和測試SQL注入

我想用它來進行安全/ sql注入測試,以規避任何JavaScript驗證。

的Web開發的Firefox插件是接近,但它不會讓我改變單選按鈕元素的值。

來源

2009-12-10 frankadelic

回答

5

如果您正在進行SQL注入測試,您應該直接發送POST請求,而不是使用Web表單。無論如何,自動化測試和覆蓋更多的攻擊媒介更容易......另外,這就是餅乾將會做的事情。

編輯:兩種方式之間的很大折衷是提琴手:http://www.fiddler2.com/fiddler2/ ...您可以通過網頁表單(禁用JS)進行提交,然後編輯傳出流量以嘗試打破SQL注入。

來源

2009-12-10 00:42:40

+0

小提琴手如何做到這一點?注意我通過HTTPS使用表單。 – frankadelic 2009-12-10 01:00:31

+1

提交表單(帶或不帶驗證),使用Fiddler捕獲提交的HTTP請求,將某些值更改爲無效值(或刪除/添加一些值),檢查是否獲得了您不應該訪問的內容。 – 2009-12-10 01:15:00

+0

啊,Fiddler2中HTTPS的關鍵是...工具:Fiddler選項:HTTPS:解密HTTPS流量 – frankadelic 2009-12-10 02:33:48

0

要做到這一點,最簡單的方法是使用Firebug編輯DOM。

您可以使用Web開發工具欄禁用JavaScript中,你可以使用Firebug的HTML視圖實時編輯的屬性值。

一般來說,Firebug是一款優秀的爲網站開發人員和設計人員以及我(和許多其他人)所高度推薦的工具。

來源

2009-12-10 00:32:50 SLaks

+0

爲什麼這會降低投票率? – SLaks 2009-12-10 01:09:52

+0

螢火蟲是*不正確的做法。使用利用您的網站的人可能使用的相同工具。 Fiddler是一個不錯的選擇,不需要你使用瀏覽器,並且可以做更多的分析,而不是簡單地通過螢火蟲發佈帶有修改過的輸入值的表單。 – 2009-12-10 01:10:56

+0

也,我意外地把它投下來。不是我認爲這是一個好的或正確的答案,但它不值得被拒絕。澄清評論綽綽有餘。對不起,負責人。 – 2009-12-10 01:13:02

1

Selenium非常適合這種Web UI測試。

來源

2009-12-10 00:35:40

2

您不應該使用Javascript作爲安全形式。通過JS進行驗證只能用於改善用戶體驗。因此,SQL注入保護應該通過參數化查詢發生在服務器端。 要編輯值,您可以使用FireBug來測試任何Javascript /輸入。

編輯:你也可以使用Tamper Data。易於使用的插件,可讓您快速更改任何POST參數。

來源

2009-12-10 00:36:17 keyboardP

+0

對,我剛剛回答了FireBug插件的鏈接? – keyboardP 2009-12-10 00:46:38

+0

我回應了第一部分。 – SLaks 2009-12-10 02:24:03

+1

我幾乎不認爲額外的相關信息是值得批評的,特別是以一種居高臨下的方式。事實上,最初的問題可能會被誤讀爲意味着SQL注入/安全測試已經到位以避開驗證。因此,這意味着JS級別的安全性。此外,你必須認識到,其他人可能會來到這個線程,誰可能使用JS級別的安全性,所以我幾乎認爲快速解釋是一個問題。你的評論是不必要的,如果我沒有真正回答這個問題,那隻會有一點意義。 – keyboardP 2009-12-10 03:02:47

0

我認爲最簡單的方法是完全不使用表單。您可以在正常請求期間運行Fiddler,您將看到您的POST請求發生。

然後,您可以使用Fiddler的「請求生成器」重新播放和修改該請求(將實際請求拖到「請求生成器」選項卡上,它將克隆該請求。)這允許您創建任何不需要的輸入而無需擔心關於生成新的表單來處理這個問題。

來源

2009-12-10 00:51:38 Dolbz

相關問題

 相關問題