【发布时间】:2019-04-25 13:15:31
【问题描述】:
当 SQL 注入通过 FUZZ 以及内置有效负载执行时。扫描结果显示多个列,包括 Code、Reason、State 和 Payloads。
我如何分析已发布请求的这些列(代码、原因、状态和有效负载)
【问题讨论】:
标签: owasp zap penetration-testing penetration-tools
【发布时间】:2019-04-25 13:15:31
【问题描述】:
任何模糊测试活动都需要用户手动审核和确认。如果没有更多关于应用、功能和输出的详细信息,我们无法告诉您如何分析模糊器结果。
基本上,您必须对照原始(已知良好)请求/响应来查看模糊结果。
以下是一些可能对您有所帮助的资源:
- https://www.owasp.org/index.php/SQL_Injection
- https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)
- https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md
如果您不确定 HTTP 通信、各种攻击技术等如何工作,那么最好(从多个角度:时间、预算/成本、有效性、理智等)让您的安全团队参与或签订评估合同与第三方合作。
【讨论】: