1.查詢有漏洞
的引數。測試像%00.%27和%3b這樣的基本sql
注入字元。檢查錯誤,以識別sql注入。
2.檢查錯誤,獲得有關資料庫,表和列名的資訊。
3.查詢標準標量(版本,檔案位置),獲得資料庫型別資訊。
|--確定與系統
相關的使用者
。|--確定與資料庫相關的使用者。
|--確定與應用程式相關的使用者。
4.查詢標準資料庫物件(資料庫,表,列,儲存過程)。
|--記錄可用的資料庫,表,列和已知的行值。
5.從應用程式表中查詢任意資料。
6.使用
or true=true命令
來饒過身份驗證。
7.在標準資料庫表中插入任意資料。
8.在應用程式表中插入任意資料。
9.嘗試讀寫作業系統上的檔案。
10.在資料庫主機作業系統上執行任意命令。
|--向ftp,http,tftp伺服器,或netcat監聽程式傳送檔案。
|--向web文件根目錄
中寫入檔案。
|--覆蓋重要配置檔案。
11.拒絕服務攻擊
(關閉資料庫,關閉主機,刪除檔案,佔滿磁碟空間)。
在處理web應用程式的資料庫部分時,應把它當做乙個網路
滲透測試的小環境,追蹤,列舉,滲透,提公升許可權和竊取資料。
減少缺陷漏測的系統方法體系
功能缺陷的測試方法流程 第一步 功能測試分析 功能測試階段 目的 提取功能測試物件 準備功能測試資料 減少因為功能測試物件遺漏的漏測 第二步 功能驗證 功能測試階段 目的 檢查功能是否已基本正確實現 測試方法 基於生命期 物件建立 使用 銷毀的驗證資料測試方法 靜態資料測試方法和動態資料測試方法 邊...
資料結構與演算法體系(選擇排序)
選擇排序演算法 時間複雜度 o n 2 重點 複寫compareto方法 public class selectsort 建立實體類以供測試 1.複寫compareto方法 class cat implements comparable override public string tostring...
mysql 資料庫許可權體系
例見 mysql 建立使用者報錯error 1396 hy000 operation create user failed for x x 因為從mysql.user中刪除建立過的同名使用者後,並沒有重新整理許可權,所以在重新建立同名使用者時,報錯。如果指定all on 無法收回 db.的許可權,這...