SQL injection 如何逃避防火牆的偵測?
這邊文章主要以筆者在OWASP Testing Guide 中的文章分享
SQL injection的測試, 以及駭客如何逃避防火牆的偵測
讀者可以根據這樣的方式測試防火牆的規則是否可以有效偵測 SQL injection
SQL injection會造成什麼風險?
SQL injection 可能造成的風險包含如下
- 資料外洩
- 繞過存取與驗證控制
- 系統與主機被控制
- 資料庫資料被竄改
- 使用者權限被任意修改
SQL injection 如何測試?
https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-006)
- 1 Summary
- 2 How to Test
- 3 Tools
- 4 References
SQL injection 如何逃避防火牆偵測?
可參考筆者在 OWASP Testing Guide 文章內容如下
2.5 SQL Injection signature Evasion Techniques
- 2.5.1 White Space
- 2.5.2 Null Bytes
- 2.5.3 SQL Comments
- 2.5.4 URL Encoding
- 2.5.5 Character Encoding
- 2.5.6 String Concatenation
- 2.5.7 Hex Encoding
- 2.5.8 Declare variables
- 2.5.9 Alternative Expression of ‘or 1 = 1’
什麼是 OWASP Testing Guide
https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf