前言
Injection 攻擊名列 OWASP TOP 10 中的 Top 1!SQL Injection 也是一種 Injection 形式,身為工程師去了解 SQL Injection 原理是必要的。SQL Injection 合成出新的語句,對於初學者而言難以憑空想像,通常需要使用程式來查看,若每測試一個語句就要寫幾行程式,太麻煩了!這裡開發出網頁版的時實 SQL 合成,適合拿來在課堂上教學使用,更適合在滲透測試時可以用來猜測、利用與驗證。
工具連結
安裝說明
這個工具是以 javascript 開發的,目的是讓使用者只需有瀏覽器,即可隨時使用,不用額外安裝軟體!
使用方法
- 將 SQL 語句貼至
GUESS SQL HERE,注入之前的預覽會在PREVIEW區域。 - 填寫要注入的參數名稱於
Parameter Name。 - 填寫對應要注入的值於
Value。 - 注入後的 SQL 語句會顯示在
AFTER INJECTION區域。 - 可由
PREVIEW與AFTER INJECTION對比查看,體會一下 SQL Injection 的威力!
補充小常識
要預防被注入、安全的執行 SQL,必定要用 Parameterized Query + Prepared Statement,缺一不可。
