SQL-Injection funktioniert nicht korrekt

8

Ich versuche eine SQL-Injektion auf einer Dummy-Website durchzuführen, die auf meinem lokalen Host für ein Sicherheitstestprojekt erstellt wurde.

Ich habe versucht, die Zeichenfolge " OR "=' in das Feld Benutzername und Passwort einzugeben, so dass sie diese umgehen und Login Correct anzeigen sollte. Stattdessen wird jedoch Anmeldung fehlgeschlagen

Jede Hilfe, um zu verstehen, warum die SQL-Injection nicht funktioniert

%Vor%     
Hashey100 06.01.2013, 14:01
quelle

2 Antworten

12

Ihre Injektionssaite sollte wie folgt aussehen:
Benutzername und Passwort:

%Vor%

Benutzername (oft) oder Passwort: (Es hängt davon ab, welcher zuerst in der Abfrage kommt)
# comments Rest der Abfrage.

%Vor%

Weitere Informationen zur SQL-Injection finden Sie in dieser perfekten URL:
SQL Injection Knowledge Base

Sie können auch meine gemachten Slides (ms PowerPoint-Datei (ppsx)) über praktische SQL-Injektion herunterladen:
SQL-Injektion in Aktion

    
Siamak A.Motlagh 06.01.2013, 14:04
quelle
2

Versuchen Sie dies zu injizieren: ' or '1' = '1' --

'1' = '1' ist immer wahr und -- sagt alles nach dem -- ist ein Kommentar und wird nicht überprüft.

    
P1nGu1n 06.01.2013 14:06
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Wie sage ich RavenDB, eine Eigenschaft, aber nicht WebAPI zu ignorieren?