<分区>
我恢复了一个充满 sql 注入(inject)的旧网站,如果它存在的话,我需要一个工具,它可以通过跟踪网站上的现有链接来抓取整个网站,然后尝试将一些 sql 注入(inject)内容放入弱输入中。
我可以自己检查,但该网站相当大,所以我更喜欢爬虫,以确保我不会忘记一个条目...
谢谢
好吧,在写完这篇文章后,我意识到我要的是一个黑客工具,当然不是这种情况:p,所以有可用的白帽技术吗?
<分区>
我恢复了一个充满 sql 注入(inject)的旧网站,如果它存在的话,我需要一个工具,它可以通过跟踪网站上的现有链接来抓取整个网站,然后尝试将一些 sql 注入(inject)内容放入弱输入中。
我可以自己检查,但该网站相当大,所以我更喜欢爬虫,以确保我不会忘记一个条目...
谢谢
好吧,在写完这篇文章后,我意识到我要的是一个黑客工具,当然不是这种情况:p,所以有可用的白帽技术吗?
最佳答案
在寻找自动化工具之前,您应该解决已知问题。
您需要执行以下步骤:
mysql_real_escape_string()
或类似方法(如果不可行的话)。您应该将上述内容视为比测试工具更高的优先级。在这些工具完成之前,甚至不要花时间寻找自动扫描工具。
自动 SQL 注入(inject)工具不会发现您的所有问题,即使是那些对于有能力的攻击者来说显而易见的问题。
在完成上述两项操作之前,您将把时间浪费在自动化工具上。
关于php - 寻找在线sql注入(inject)工具检查器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5375753/