寻找在线sql注入工具检查器
寻找在线sql注入工具检查器
提问于 2011-03-21 17:28:05
我恢复了一个旧网站,其中充满了sql注入,我需要一个工具,如果它存在,抓取整个网站只是通过它现有的链接,然后尝试把一些sql注入内容到弱输入。
我可以自己检查,但网站是相当大,所以我更喜欢一个爬虫,以确保我不会忘记一个条目…
thx
好吧,在输入这篇文章后,我意识到我要求的是一个黑客工具,这当然不是这样的:p,那么有可用的白帽电子产品吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2011-03-21 17:41:44
在寻找自动化工具之前,您应该修复您的已知问题。
您需要执行以下步骤:
- 如果站点使用框架,该框架是否为最新版本并安装了补丁?这个框架主要是自动化工具要攻击的,所以不要测试它,只要让它保持最新即可。
- 在网站执行自己的SQL时,您需要手动检查每一条SQL语句,以确保它们都不会受到攻击。这意味着,在任何情况下,要么转换为参数化语句(最好),要么使用
mysql_real_escape_string()或类似的方法,如果这样做不实用的话。
您应该将以上内容视为比测试工具更高的优先级。在自动扫描工具完成之前,不要花时间寻找这些工具。
一个自动化的SQL注入工具不会发现你所有的问题,即使是那些对有能力的攻击者来说显而易见的问题。
除非你做了以上两件事,否则你将把时间浪费在自动化工具上。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/5375753
复制相关文章
相似问题
腾讯云开发者
