[SQL Injection] SQL注入後的結果即時顯示工具,可用來教學!
SQL Injection 攻擊名列 OWASP TOP 10 中的 Top 1 !身為工程師去了解SQL注入原理是必要的。SQL注入合成出新的語句難以憑空想像,通常需要使用程式來查看,若每測試一個語句就要寫幾行程式,太麻煩了!這裡開發出網頁版的時實 SQL 合成,特別是再滲透測試時可以拿來猜測與利用。
這個工具是以js開發的,目的是隨時都可以用,不用安裝!(點擊這)
使用教學如下
- 將 SQL 語句貼至「SQL HERE」,注入前的預覽會在「PREVIEW」區域。
- 填寫要注入的參數名稱於「Parameter Name」。
- 填寫要注入的參數名稱於「Value」。
- 注入後的 SQL 語句會在「AFTER INJECTION」區域。
- 可由「PREVIEW」比對「AFTER INJECTION」,就知道 SQL 注入的威力!
- 補充小常識:要預防被注入、安全的執行SQL,必定要用「Parameterized Query」 + 「Prepared Statement」,缺一不可。
留言
張貼留言