OWASP |电击 | SQL 注射 |扫描报告
OWASP | ZAP | SQL Injection | Scan Report
当 SQL 注入通过 FUZZ 与内置有效负载一起执行时。扫描结果显示代码、原因、状态和有效负载的多列。
我如何分析已发布请求的这些列(代码、原因、状态和有效负载)
任何模糊测试 activity 都需要用户手动审查和确认。如果没有关于应用程序、功能和输出的更多详细信息,我们无法告诉您如何着手分析模糊器结果。
本质上,您必须与原始(已知良好)对比检查模糊结果 request/response。
以下资源可能对您有所帮助:
- https://www.owasp.org/index.php/SQL_Injection
- https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)
- https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md
如果您不确定 HTTP 通信、各种攻击技术等如何工作,那么最好(从多个角度:时间、budget/cost、有效性、理智等)让您的安全团队参与进来或将评估工作外包给第三方。
当 SQL 注入通过 FUZZ 与内置有效负载一起执行时。扫描结果显示代码、原因、状态和有效负载的多列。
我如何分析已发布请求的这些列(代码、原因、状态和有效负载)
任何模糊测试 activity 都需要用户手动审查和确认。如果没有关于应用程序、功能和输出的更多详细信息,我们无法告诉您如何着手分析模糊器结果。
本质上,您必须与原始(已知良好)对比检查模糊结果 request/response。
以下资源可能对您有所帮助:
- https://www.owasp.org/index.php/SQL_Injection
- https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)
- https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md
如果您不确定 HTTP 通信、各种攻击技术等如何工作,那么最好(从多个角度:时间、budget/cost、有效性、理智等)让您的安全团队参与进来或将评估工作外包给第三方。