当SQL注入与内置有效负载一起通过FUZZ执行时。扫描结果在"代码"、"原因"、"状态"和"有效负载"旁边显示多个列。
如何分析已发布请求的此列(代码、原因、状态和有效负载(
任何模糊测试活动都需要用户手动查看和确认。如果没有更多关于应用程序、功能和输出的细节,我们无法告诉您如何分析模糊结果。
从本质上讲,您必须查看模糊结果,并与原始(已知良好(请求/响应进行比较。
以下是一些可能对您有所帮助的资源:
- https://www.owasp.org/index.php/SQL_Injection
- https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005(
- https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md
如果您不确定HTTP通信,各种攻击技术等如何工作,那么最好(从多个角度:时间,预算/成本,有效性,理智等(与您的安全团队合作或将评估工作外包给第三方。