用于生成html帖子页面以绕过JS验证和测试sql注入的工具
当前问答内容不符合相关政策法规,无法提供答案,请修改问题后重试。
相关·内容
我需要在网站中演示SQL注入,但是我的网站使用knockout.js数据绑定来接收类型为POST和dataType JSON的AJAX对象。
下面是一个例子:
<script src="http://knockoutjs.com/downloads/knockout-2.3.0.js"></script>
<div data-bind="value: details().Name" />
<script>
ko.applyBindings();
</script>
SQL注入可以在这样的表单
浏览 32提问于2017-02-21得票数 0
我想一个工具(或火狐),枚举所有的元素上的目标HTML页面,并生成一个新的HTML页面,我可以用来张贴到原始页面。
我想将其用于安全性/ sql注入测试,以规避任何JavaScript验证。
Web开发人员firefox插件很简单,但它不允许我更改单选按钮元素的值。
浏览 0提问于2009-12-10得票数 1
回答已采纳
1回答
常见网络攻击
、、、
可能重复:
如何在用户攻击中测试已经内置的网站?我已经在.NET中开发了一个过程管理系统,现在在将它放到生产环境之前,我想通过一系列的攻击来测试它。
如果有人能分享一些常见的在web应用程序上应用的攻击,我很感激。我知道一些常见的攻击,如未经授权的访问、URL嵌入攻击、sql注入等等。
请分享您的经验和建议,谢谢。
浏览 3提问于2012-12-21得票数 2
1回答
我通常使用Java/Selenium编写自动化,但是在我们的站点上,使用典型的脚本下订单需要花费近一分钟的时间。我正在寻找可能下数百个,如果不是数以千计的订单,这将采取的日子。订单的验证将由监视服务完成,因此脚本不需要进行任何验证。它只需要尽快下订单。我正在寻找使用自动化下订单的其他工具或方法。
我已经调查过web服务的路线,但没有可用的。我目前正在探索使用LoadRunner下订单。这个方法大约每5s下一次订单,但我想我会遇到一些问题,将所有不同的产品选项映射到脚本中……除了我觉得我在用螺丝刀钉钉子.
对于如何做到这一点,有什么建议吗?我对任何事情都很开放。我熟悉Eclipse/Java/S
浏览 0提问于2016-01-21得票数 1
回答已采纳
我想要为每个sitemap页面构建带有500个链接的html站点地图。我的网站有一万多个帖子。
我的sitemap.php文件
$sql = mysql_query("SELECT * FROM post WHERE id BETWEEN 1 AND 500" );
while($data = mysql_fetch_array($sql))
{
echo "<a href='http://".$data['url']. "'>".$data['title']. "</a&
浏览 2提问于2013-08-26得票数 0
回答已采纳
我正计划开始一个博客,所以我创建了自己的拉拉网站。我的文章是带有.md扩展名的标记文件。当用户访问某个帖子时。然后,example.com/how-to-create-a-webiste将获取并解析我的标记文件以生成html内容,并显示在名为post的视图上。
因此,实际上除了post.blade.php.之外,我没有任何html文件。因此,这会影响爬虫从我的网站爬行,因为我没有html页面,我的所有网页都是减价文件?
浏览 2提问于2018-10-30得票数 1
回答已采纳
因此,今天在我的工作中,我通知了一位高级程序员,我在我们的网站上发现了一个SQL注入。然而,当我进行SQL注入时,页面只返回400,所以我看不到任何错误,或者UNION选择了更多的信息等等。这就是为什么我想一位高级开发人员说我们现在太忙了,所以我需要重新测试其他东西(我是一个测试人员)。他是对的吗?没有办法利用只返回400的SQL注入吗?
浏览 0提问于2015-11-09得票数 2
7回答
我网站的一些页面容易受到SQL注入的影响。只有当用户登录时,注入才能工作。我现在已经解决了这个问题,现在我想确保不再存在类似的问题。我尝试过用辛印和平面图进行扫描,但这两个程序都没有提供网站登录细节的规定。是否有任何工具可以扫描已登录会话的注入漏洞?
浏览 0提问于2013-07-31得票数 8
回答已采纳
原发
我们最近收到了IBM的结果,其中一些结果不太合理。
高-盲SQL注入(基于时间的)
Parameter: form:propertyTree:0:j_idt126
Risk(s): It is possible to view, modify or delete database entries and tables
Fix: Review possible solutions for hazardous character injection
第二例盲SQL注入(基于时间的)
URL: https://***/javax.faces.resource/components.j
浏览 5提问于2020-05-10得票数 3
我正在致力于识别和修复SQL注入漏洞。我已经在很多地方完成了到pdo/预准备语句的转换。
www.site.com/domain/products/12345/description-of-the-product
在htaccess中,这被重写为:
www.site.com/domain/product.php?id=12345
htacess如下所示:
RewriteRule ^(.*)/products/([0-9]+)/([^/\.]+)/?$ /$1/product.php?id=$2 [L]
所以,这就是我的问题:既然url是用mod_rewrite重写的,它只与ingteger匹
浏览 0提问于2013-05-30得票数 0
回答已采纳
在使用ASP.NET应用程序时,我使用自定义HttpModule实现了页面级访问控制,该HttpModule拦截每个传入请求,并检查连接的用户是否可以访问请求的页面,如果不能,则将其重定向到错误页面。
这种方法是否足以保证应用程序的安全性,或者是否容易绕过它,,以及您建议如何改进它?
提前谢谢。
浏览 5提问于2012-06-11得票数 3
回答已采纳
找到的错误页面正在使用下面的代码将css和js文件注入cshtml文件。
什么负责用实际的css和js替换包含标记?
<style>
<%$ include: Error.css % >
</style>
浏览 3提问于2019-08-15得票数 2
回答已采纳
当我的表单加载到页面上时,默认情况下将禁用“提交”按钮。用户是否可以在禁用此提交按钮的情况下提交表单?(不是恶意的就是偶然的。)。
我之所以这样问,是因为在提交时,Javascript对表单信息进行了验证,但我当然是在验证PHP脚本中的信息。话虽如此,我真的需要在服务器端验证这些信息吗?提交按钮将通过Javascript启用。因此,如果用户禁用JS (通过JS验证),他们甚至可以提交表单吗?我猜是不行,但我正在寻找一个坚定的答案。
如果答案是否定的,那么我真的不需要进行PHP验证,因为用户无法通过JS验证,对吗?
谢谢!
浏览 18提问于2011-06-15得票数 1
回答已采纳
5回答
当我读到SQL注入和XSS时,我想知道你们是否有一个单独的字符串可以用来识别这些漏洞和其他漏洞。
一个可以抛入网站数据库的字符串,用于检查该字段是否安全。(将在一些内部工具上进行大型测试)
粗略的例子,想知道你们是否知道更多?
"a‘或’1‘=’1‘“
“script>alert‘><测试(’test‘)< /script>”
编辑:在SO上找到了一个不错的
浏览 0提问于2008-11-08得票数 17
回答已采纳
1回答
几天前,当我设计了一个HTML表单,通过php将数据提交到SQL数据库时,我开始思考这个问题。我解决了我的问题,但我在这里问一个计算机理论问题,这可能会对我(或其他人)在未来有所帮助。
我想保护自己不受的影响,我认为与其在服务器端由php验证数据,不如让javascript在客户端验证数据(我在JS方面比PHP流利得多),然后发送。
但是,复杂的用户可能会检查javascript (或HTTPrequest),然后修改它以向服务器发送自己的恶意请求。
我的问题是:
从理论上讲,是否有可能在克林顿端()进行计算,在中可以看到代码,并以某种方式发送数据以确保数据是从我的程序而不是从修改过的代码发
浏览 2提问于2012-10-16得票数 0
回答已采纳
只是注意到广告出现在我们的一个Wordpress网站上。将其固定下来,将这些脚本注入到每个页面的顶部:
<script language="javascript" type="text/javascript" src="http://www.mde86.org/jquery.min.Js"></script><div style="display:none"><script language="javascript" type="text/javascript
浏览 7提问于2015-10-29得票数 0
回答已采纳
1回答
使用Cypress和page需要登录到Google。我不想使用谷歌云使用Cypress和页面要求登录到谷歌。我不想使用谷歌云,我可以手动登录,如何避免直接登录页面和登陆首页?
浏览 32提问于2021-11-15得票数 0
回答已采纳
3回答
是否有任何服务,或测试套件或其他东西,我可以运行我的网站,并暴露任何主要的安全缺陷。我不希望我需要担心黑客,但我想消除容易被利用的安全风险。例如SQL注入、跨站脚本等。
浏览 0提问于2012-02-28得票数 1
回答已采纳
1回答
我正在根据“serviceWorker”测试
我的电脑有Ubuntu18.04,apache2 v2.4.29,Firefox69.0.1
我看到serviceWorker只在HTTPS域上起作用,但对于测试来说,它也是在端口80和本地主机上运行的。
我在我的一个测试域outilsrouteur.test上测试它,其中outilsrouteur.test是:
<VirtualHost *:80>
ServerName outilsrouteur.test
ServerAlias www.outilsrouteur.test
Docum
浏览 3提问于2019-09-28得票数 0
我正在努力减少我的web应用程序的漏洞,这样我的web应用程序就可以不受SQL注入的影响。那么,我可以使用触发器来减少一些SQL注入攻击吗?
浏览 2提问于2015-09-28得票数 0
回答已采纳
我的AngularJS应用程序的结构如下:
myproj
|-- app
| |-- index
| | |-- index.html
| | |-- index.js
| |-- page1
| | |-- page1.html
| | |-- page2.js
| |-- page2
|-- common
| |-- resources
| | |-- page1resources.js
| | |-- page2resources.js
index.html是我的主页,包含ui路由
浏览 3提问于2014-12-15得票数 1
回答已采纳
3回答
我正在尝试用Selenium WebDriver为不同的web应用程序安全测试方法找出方案。我知道XSS和SQL注入,但还没有尝试用Selenium执行这样的测试。虽然Selenium应该用作UI功能测试自动化工具,但我认为我们也可以使用它来测试网站的一些安全方面。
我的问题是:
有没有人使用Selenium进行web应用程序的自动化安全测试?您能分享一下使用Selenium的经验或方法吗?
使用Selenium作为我的工具,我可以从web中执行什么安全测试?
浏览 5提问于2014-04-18得票数 0
回答已采纳
2回答
我在我的网络服务器上运行了Wapiti。我转储之前和之后的数据库,删除了最后一行是时间戳,发现两个文件都有相同的哈希值,所以我知道数据库没有改变。
但是根据报告,我有几次测试失败了。这是信息中的数据
500 HTTP Error code.
Internal Server Error. The server encountered an unexpected condition which prevented it from fulfilling the request.
* World Wide Web Consortium: HTTP/1.1 Status Code Defini
浏览 4提问于2010-09-10得票数 1
1回答
前端测试自动化
、、
我最近不得不将jQuery 1.3的评级从1.10提高到1.10。结果,很多jquery代码被更改,插件也升级了。因此,这导致了很多小时的手工测试。这让我觉得应该有一种更好的方法来测试/验证页面,在我的站点上更改js/css之后。
我想做以下几点。
在我的网站上爬行所有页面。
检查页面上的所有链接是否正确。
检查基本html标记验证
检查任何JS & css错误。
jquery版本兼容代码
任何工具的建议,将允许我执行上述所有的测试。
谢谢
浏览 1提问于2013-09-21得票数 2
回答已采纳
1回答
嗨,我被困在添加动画背景的反应应用程序,这也是互动。我已经看过几个类似的问题,这个页面,但我找不到我的问题的解决方案。脚本是用Java编写的,并被翻译成JavaScript,我已经放弃了。有文档,但没有提到React。脚本的作者说他不知道React,也帮不了我。它在正常的网站上工作得很好,但我想采用它来做出反应。
HTML中的代码如下所示:
<script src="js/libs/jsband-min.js" type="text/javascript"></script>
<script src="js/anim
浏览 0提问于2020-08-07得票数 0
5回答
这是一个还没有被直接问到的问题。
我为一家每年为数百万网络客户提供服务的公司开发。我们的许多web应用程序都是几年前编写的(实践很糟糕),完全依赖于java-script来实现页面的工作,最著名的是web表单验证。
最近,我们已经实现了noscript标签,如果用户不使用javascript,我们可以将用户重定向到错误页面。
我很难说服任何人,为什么服务器验证应该与客户端验证一起进行,而不是使用noscript,因为99%的用户现在都有支持javascript的浏览器。
此外,添加开始和结束标记以及重定向可以在5秒内完成,而服务器验证需要更多的时间和金钱。
你的想法是什么?
如果我们现在除了1
浏览 0提问于2011-05-25得票数 1
2回答
如何保护我的Cakephp 3.0代码免受sql注入。库克书只是给我的想法,我们应该直接使用列名或用户数据,但不知道如何做?
浏览 9提问于2016-12-19得票数 1
driver.findElement(By.xpath("//i@class='fa fa-eye slash‘“)).click();
浏览 2提问于2020-10-14得票数 0
1回答
我遇到了一些本地web原型的问题;
我用--allow-file- access -from-files启动我的Chrome浏览器,用来访问C:/上的文件。这太棒了,我已经成功地让我的第一个页面工作,它加载到我的.js,.css文件等如预期的。
但是,当我单击链接进入下一个页面时,HTML会加载,但不会加载任何样式、javascript (甚至图像)。
尽管文件:// url指向了正确的位置,但我在控制台中收到了'Failed to load resource‘错误。
有什么办法可以解决这个问题吗?
浏览 0提问于2012-08-23得票数 0
回答已采纳
2回答
我通常制作php表单,并“尝试”在其中使用“好的实践”。
我关心表单的真正安全性和无错误,我想做一些模拟客户行为的测试,我会手动完成,但我发现这是一项艰巨的工作,特别是当表单很大的时候,我知道有很多组合我无法测试,所以通常我会在生产阶段发现错误。
有没有能做到这一点的工具?
用户输入意味着:不填写/检查所有字段,输入无效数据,使用不同的设置(没有javascript,浏览器版本,...),SQL注入,我不知道更多...
浏览 0提问于2012-03-25得票数 3
回答已采纳
我正在尝试执行一个脚本,该脚本在指定的选项卡(by ID)上显示绿色边框。当请求的URL的响应是错误时,脚本应该执行。问题是,当我从about:debugging加载扩展时,我会得到以下错误(在FF 53中的浏览器控制台中):
Error: No window matching {“matchesHost”:[“<all_urls>”]}
我搜索了几个小时,并查看了几个类似问题的帖子,但没有一个对我有帮助。例如,这个建议添加"<all_urls>"权限,但在我的例子中没有帮助。另一个说,在某些类型的主机上执行脚本是不可能的,比如about:[anythi
浏览 4提问于2017-06-13得票数 0
回答已采纳
2回答
我的页面上有按钮调用JS函数,如下所示:
<button onclick="addProduct(100100)" type="button">Add</button>
(我这样做是因为我在同一页上有多个订单)
JS函数addProduct(ordernum)接受订单号,并提交一个ajax请求将数据处理到我的数据库中。
$sql = "INSERT INTO orders ( ... ) VALUES ( ... ) WHERE sku = :sku AND ordernum = $_POST['ordernum'
浏览 3提问于2016-07-04得票数 1
3回答
所以我在谷歌上搜索这个问题,找不到任何明确的例子,因为几乎所有相关的故事都是关于用户登录的网站等。
所以我的场景是这样的,asp.net MVC3网站,没有用户登录,什么都没有。我确实有一些表格,但是,接触和一些计算功能。
我使用Nhibernate,并将我的Smtp服务器凭证放在代码本身中,而不是web.config中。我还有一个自定义的错误页面和post方法,它们都有HttpPost属性。
作为最后一个特性,我有一个AJAX/json get方法,它可以获取标题列表(这个控制器方法有AcceptVerbs(HttpVerbs.Get)属性)。
我是不是遗漏了一些大的安全漏洞(sql注入,跨
浏览 2提问于2012-05-18得票数 0
回答已采纳
1回答
我正在做一些Apache Ant项目,其中我使用.jar来验证html。ant脚本获取*.html文件并对其进行验证,如果发现错误则显示。
对于在.php文件中写入的html的验证,.jar无效。因为它不接受.php文件。
是否有人知道任何.jar或.js或.php文件/方法,我可以通过它来验证.php文件中的html。
注意:我不想使用w3c-Validate工具,因为它是在线的,只有在互联网打开的情况下才能工作。
浏览 0提问于2013-05-09得票数 0
回答已采纳
2回答
我有一个网站,我使用会话登录。在我的管理的每个页面,我有一个检查器,如果用户已经登录或没有。我有这个代码
if(!$_SESSION['loggedin'] && !$_SESSION['userid'])
{
header('Location:login.php');
}
else
{
//proceed loading the page
}
现在发生了什么,有人在搞乱我们的网站。他/她在网站上输入一些粗俗的文本,比如...所有不敬的话和它是如此令人沮丧,因为网站是对公众可访问的。我相信用户名和密码被黑了。因此,我要求所有
浏览 1提问于2012-06-27得票数 1
回答已采纳
1回答
祝大家日安。
我创建了一个经过审核的聊天(每个问题/答案/任何东西都必须经过审核)。现在我唯一的问题是,我不知道一种方法来模拟许多用户输入一些东西,并在帖子被审核后获得重播。所以我要问的是,如果有什么方法可以模拟用户输入,然后按enter键。(对于每个对象,使用一些ajax来获取响应)。我可以调整他们输入的任何内容,或者如果我可以模拟一个主持人,那就更好了。
谢谢你的帮助。
浏览 1提问于2011-01-20得票数 1
1回答
是否有一种方法来修改链接,以便IE能够正确地显示页面?
例如,我正在使用Ruby,并生成了一个列表,例如:
https://www.google.com/search?img=bks&q="cats" OR "dogs" or "birds"
但是,当我单击在一个新的选项卡/窗口中打开的链接时,IE会引发以下问题:
Internet Explorer has modified this page to help prevent cross-site scripting.
页面根本不加载。链接也被加载到地址栏中,如下所示:
https://
浏览 6提问于2016-07-08得票数 0
回答已采纳
1回答
如果数据库中存储的数据是否完全正确,我必须在Oracle中使用SQL进行测试。例如,确保我们是最新的,没有未来的日期,没有在varchar列上的无效字符,等等。
考虑到团队中唯一的知识是SQL,那么这种测试的最佳选择是什么。
浏览 0提问于2019-01-08得票数 2
1回答
定义回调函数时:
src=https://www.google.com/recaptcha/api.js?onload=onloadCallback&render=explicit
有没有办法通过grecaptcha对象手动触发它?
浏览 1提问于2018-09-27得票数 0
即使没有选中,也可以发布复选框名称吗?
<input type='checkbox' class='tinyField' name='alert_by_email' value="1" <?PHP echo $alert_by_emailChecked ?> />
foreach ($_POST AS $field => $value)
$sql[] = $field." = '". $value."'";
$sql = impl
浏览 1提问于2015-03-11得票数 0
我正在构建一个twitter克隆人的最佳尝试,并遇到了一个小问题。我希望能够点击一个帖子,不需要刷新页面,就可以在页面的重叠处显示该帖子(就像在twitter提要上查看回复一样)。
在script.js中,我检查是否单击并尝试更改url。
$('body').on("click", ".chirp", function(){
var uid = $_GET['id'];
var pid = $(this).attr("id");
var pidSplit = pid.split("chirp"
浏览 0提问于2018-08-09得票数 1
回答已采纳
2回答
一般问题
你好!我正在深入研究Chrome扩展的世界,在整个工作流程中遇到了一些问题。谷歌最近似乎转向大力倡导事件页面,而不是将所有内容都保留在background.js和background.html中。我认为这部分意味着我们应该将你的大部分扩展逻辑传递给一个内容脚本。
在中,他们在manifest.json文件中列出了内容脚本。但是在他们的事件页面示例扩展中,它是通过background.js:chrome.tabs.executeScript(tab.id, {file: "content.js"}, function() { });中的代码块引入的
一种方式比另一种方式
浏览 0提问于2013-06-15得票数 69
回答已采纳
有一段时间,我越来越困惑,因为我的新页面上可能存在XSS攻击漏洞。我已经读了很多,这里在SO和其他谷歌网站。我想尽可能地保护我的页面(是的,我知道我不可能100%安全:)。
我也知道xss是如何工作的,但我想请您指出我代码中可能存在的一些易受攻击的地方。我同时使用jquery、javascript、mysql、php和html。当我使用这样的编码时,请告诉我它有多安全。这是个主意。
html:
<input name="test" id="id1" value="abc">
<div id="button">
浏览 3提问于2012-03-28得票数 2
回答已采纳
我必须测试两种情况,当由于一些操作意外地抛出400和500服务器错误,并且每个错误出现在客户端上时,正确的消息出现在客户端。
当我试图通过Fiddler编辑请求并将其发送到服务器时,我会收到一个正确的错误,并且服务器端的一切都很好。但是编辑和重发请求并不会影响客户端,因此很难验证完整的需求。
是否有办法模拟同时影响UI的400和500服务器错误?
浏览 0提问于2016-10-14得票数 0
1回答
我使用jquery和ajax来实现可拖放的排序表。
我的问题是,它只有大约10%的时间有效。
这是我的js代码。
<script type="text/javascript">
// When the document is ready set up our sortable with it's inherant function(s)
$(document).ready(function() {
$("#test-list").sortable({
handle : '.handle',
浏览 0提问于2016-03-23得票数 1
3回答
SQL注入测试的正确方法
、、、、
你好,我正在开发一个网站,并做一些渗透测试。它建在CakePHP,让我意识到:
如果使用CakePHP的ORM方法(例如find()和 ())和适当的数组表示法(即,),那么CakePHP已经可以保护您免受SQL注入的影响。数组(‘field’=> $value),而不是原始SQL。
但是,我不确定要在输入表单字段中输入哪些数据来测试SQL注入预防。
下面的表名带有简单的VARCHAR属性-
categories: name
clients: address, county, country, name
items: name
statuses: name
这个输入到表单中并提
浏览 2提问于2012-05-20得票数 3
2回答
我在android平台上问过这个问题,但没有收到回复。我提到过这个帖子,但找不到他指的是什么帖子()。
还有人提出了这个问题()
所以我的问题是
在这方面有什么进展吗?是否有可能将新的字节码注入正在加载的类中?如果是,是否有指向同一类的指针?。
干杯。厄伦斯
浏览 1提问于2011-02-21得票数 7
2回答
我了解SQL注入攻击的基本过程。有人告诉我,防止这种攻击的一种方法是频繁地更改表名!这有可能吗?如果是这样的话,有人能给我提供一个链接来更多地阅读它,因为我在网上找不到关于它的解释。
浏览 0提问于2016-10-12得票数 1
回答已采纳
3回答
测试框架需要为数据库设置TRUSTWORTHY,并为服务器启用SQL。
为什么这些是必需的?有没有可能在没有CLR对象的情况下实现相同/相似的功能?
浏览 0提问于2012-05-10得票数 6
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
