2回答
SQL注入查找器
、、、
最近,一名测试人员在测试应用程序时发现了一个SQL注入漏洞。有没有SQL注入查找器/静态代码分析器可以发现Java代码中的SQL漏洞?
浏览 0提问于2012-09-14得票数 5
回答已采纳
我已经开始使用SonarQube进行静态分析。它向我报告了相当多的SQL注入漏洞,但看起来是false positive发现的。Make sure to sanitize the parameters of this SQL command.SqlDbType.NVarChar, 32)).Value = record;
浏览 0提问于2018-05-16得票数 0
回答已采纳
1回答
我是黑盒笔测试一个同事的网站上常见的漏洞(主要涉及OWASP的前10位)。如何才能更清楚地了解查询的样子?还是说这完全是主观的,是针对这个案子的呢?我想要找的一个例子是注入SQL的方法,无论它位于何处,都可以依赖于测试漏洞。
注意:如果需要的话,我可以简
浏览 0提问于2016-11-30得票数 0
我在我的代码上运行Checkmarx并获得一个sql注入漏洞。userRepository.save(user);} else {}}应用程序的assignRole方法在src/Service.java的第xx行使用保存执行一个SQL查询。应用程序通过将不受信任的字符串嵌入到查询中而不进行适当的清理来构造此<em
浏览 3提问于2021-11-15得票数 0
2回答
在web应用程序的上下文中,漏洞扫描是否是一种形式的模糊?Wikipedia将模糊定义为“向计算机程序的输入提供无效、意外或随机的数据”。Web应用程序漏洞扫描器发送无效的意外数据,以识别SQL注入或跨站点脚本等漏洞。
浏览 0提问于2016-05-29得票数 1
回答已采纳
1回答
我在rails应用程序上运行了一个静态代码分析工具(brakeman),它报告了一些SQL注入漏洞,我怀疑这些漏洞可能是错误的。
浏览 3提问于2013-08-19得票数 0
回答已采纳
1回答
我试图使用OWASP在DVWA中查找SQL注入漏洞。经过几次点击页面后,我得到了一个小的站点地图:我在GET:sqli节点上运行了活动扫描、蜘蛛和AJAX蜘蛛。正如您在上面的屏幕截图中所看到的,没有发现SQL注入漏洞。:8081/vulnerabilities/sqli/页面中的表单操作也是如此:只有当我手动提交表单时,表单操作才会显示在“站点”选项卡中:而且,只有当我再次运行活动扫描时,才会检测到SQL注入</e
浏览 0提问于2019-12-10得票数 0
我不能分离OWASP前10名的安全风险,Sql注入是攻击还是漏洞?如果Sql注入是web应用程序攻击类型(以及其他owasp安全风险),那么在哪里可以找到漏洞列表?
浏览 0提问于2017-05-26得票数 -1
回答已采纳
我读过sql注入漏洞可能非常危险,因为服务器可能泄露用户密码和信用卡信息。SELECT * FROM users WHERE name = '" + userName + "';
浏览 0提问于2012-09-26得票数 0
Web应用程序漏洞和潜在的假阳性
作为渗透测试器,应用程序漏洞扫描是任何渗透测试方法的重要组成部分。在应用程序扫描阶段,可能会出现几种不同类型的漏洞。主要是..。SQL注入/盲目SQL注入、跨站点脚本/持久性跨站点脚本、命令注入、XPath注入、SOAP/AJAX攻击、CSRF/HTTP响应拆分、任意文件上传攻击、远程文件包括(PHP代码注入)、应用程序errors根据我的经验
浏览 0提问于2014-10-15得票数 1
有哪些程序,或者我可以运行一个简单的脚本,来查找我整个站点中的URL中的SQL注入漏洞?最好,我想运行一个脚本(PHP)或程序来爬行我的网站,从一个链接跳到另一个链接,尝试查找漏洞,并在发现时存储该URL,以便我有一个需要修复的URL列表。
这真的存在吗?
浏览 0提问于2012-03-13得票数 26
回答已采纳
如果我有一个SQL Server数据库的SQL应用程序,是否可以安全地假设如果要进行ASP.NET注入攻击,它将通过SqlCommand类的一个实例?背景:
我所处的情况是,我继承了一个相当大的web应用程序,该应用程序存在一些SQL注入漏洞。我只是通过查看代码中的其他问题找到了几个漏洞,但我想知道,查找所有SqlCommand注入漏洞的安全方法是不是在所有文件中搜索SQL实例,然后检查它们是否为参数化查询。这是一个
浏览 3提问于2012-11-21得票数 20
回答已采纳
1回答
SQL注入漏洞?
、、
(db) cur = con.cursor() con.row_factory = sql.Row cur.execute("select title,body(db) cur = con.cursor(
浏览 13提问于2022-12-04得票数 0
4回答
SQL注入漏洞
、、、
我们的开发人员在亚洲的离岸,我刚刚发现他们一直在网站前端放置原始SQL。
我担心我们现在很容易受到SQL注入攻击。有谁知道我如何检测网站上的漏洞,以及关闭它们的最好方法是什么?
浏览 3提问于2011-12-16得票数 3
回答已采纳
1回答
假设我知道我的一个应用程序受到SQL注入的攻击,我如何识别已编辑或选定的数据集?
显而易见的来源是are服务器日志。这将使我们能够识别漏洞和注入的代码。是否有任何设置或调整,我应该申请,并将简化分析?
浏览 0提问于2016-05-20得票数 0
我正在帮助我的一个学院测试他的网站是否完全是SQLi的。这看起来很有希望,但我正在努力确保,而且我碰巧知道他正在使用pg_escape_string来净化他的POST输入。此外,只要我在这里,我想征求意见,哪一种是最好的逃避方法(PostgreSQL组合)是足够的,还是应该使用其他的?
浏览 0提问于2016-09-15得票数 0
3回答
注入漏洞主要是设计问题还是实现问题?我以SQL注入为例;我也对其他注入漏洞感兴趣。缺少参数化(不使用API,而是直接使用字符串在代码中构建SQL命令)
一些人说这主要是一个设计缺陷,但我不知道为什么.
浏览 0提问于2020-02-07得票数 2
5回答
现在,我想检查一下在完成这项工作后,我的代码是否仍然对SQL注入开放。我相信代码现在可以正常工作了,但是你看到的任何令人眼花缭乱的错误,我也很乐意听到。
浏览 1提问于2010-01-29得票数 0
回答已采纳
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
