×Закрыть

SQL инъекции, нужна помощь начинающему тестировщику

Народ, нужна помощь начинающему тестировщику.
нужно протестировать форму обратной связи.
задача стоит сделать несколько SQL иньекций, проверить как себя будет вести сайт.
облазил весь гугл, так и не нашел конкретный ответ.
может кто знает как это делать? и какие запросы писать?

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Народ, большое спасибо всем кто помог, нашел ответ, тему считаю закрытой.

SQL инъекции? Я думал с приходом всяких ORM это в принципе не возможно, уже как лет 10 ну ладно. bit.ly/2YkWQcM

Просто пиши все параметры в кавычках, и экранируй.

Я бы спросил сначала своих подопечных девелоперов, используется ли хоть один select прямо из кода. Можно запустить поиск по исходникам. Если нет (только процедуры), съэкономил бы себе пару дней тестирования.

code never lies, comments sometimes do...

Лови халяву: www.owasp.org/images/1/19/OTGv4.pdf
смотри главу „Testing for SQL Injection (OTG-INPVAL-005)”
немного старо, но суть понятна и до сих пор актуально, по-новее тут смотри: github.com/...​SP/OWASP-Testing-Guide-v5

А вообще, неплохо порыться на профильных сайтах:
www.owasp.org
www.acunetix.com/...​tesecurity/sql-injection
www.acunetix.com/...​esecurity/sql-injection2
www.acunetix.com/...​rity/blind-sql-injection
www.acunetix.com/...​curity/web-site-security
www.acunetix.com/...​tegory/web-security-zone

bobby-tables.com

svyat.tech/...​A1Injection-OWASP-TOP-10
Это статья из блога моего друга, почитай может поможет

Здесь информация по поиску уязвимостей типа SQL-injection
forum.antichat.ru//threads/43966
Статья по работе с SQL-inj используя sqlmap
www.binarytides.com/sqlmap-hacking-tutorial

Строго говоря, нужно учитывать что Гугл сильно основывается на рекомендациях так что для тс может и вправду не показываться ничего дельного

Я в разных районах небольшого города просто гуглю по запросу «новости» и заметно разные результаты выдаются.

Что характерно, любая тема на форуме не обходится без остряков
Может лучше на форум к петросяну?

Попробуйте, мало ли..
Просто Ваш вопрос немного странный. Это не совсем задача тестировщика.
Ну и вот первый ответ гугла по запросу «sql инъекция»
habr.com/ru/post/130826

Придумывать, что подавать на проверку для инъекции — как раз для тестировщика.

Может лучше на форум к петросяну?

Даже Петросян умеет пользоваться гуглом! ;-)

А какого ты на форуме спрашиваешь то, что является азами образования, что на каждом заборе написано под словом х-й, ты б ещё сколько 7*8 спросил.

Или тебе прямой наводкой сказать, что ту херню что ты на форуме понаписывал, работодатель твой потенциальный с гарантией посмотрит? А таки посмотрит. Похеру что ты уже выучил к тому времени [конечно выучил, нам ли сумлеваться], ты уже показал КАК ты решаешь даже самые примитивные задачи, даже те, к которым ответ известен заранее.

9-клашки современные знают что такое SQL-инжекция, да в принципе что такое инжекция любого кода, SQL в этом вопросе не принципиален. На ДОУ ты можешь спросить как шнурки завязывать, как найти девушку, или что делать если не можешь выучить язык/мову/language. Но профи вопросы можно ставить только «глупые» — те, на которые правильный ответ знает мало кто, где нужно обсуждение. А самое глупое, что ты можешь учудить — это показать что ты НЕ СЛУШАЕШЬ, что тебе говорят. Как думаешь, многие ли захотят тебя иметь в подчинённых?

Ты хочешь сказать что sql иньекции это базовые знания junior manual tester? Какие вопросы задавать тогда на форуме?
И на любой вопрос на форуме никто не обязан отвечать. Не нравится вопрос, просто пропусти. И по поему х-ню пишешь ты. А что делать самоучкам? Где искать эти знания? Или айти это только для избранных? И тех кто имеет бабло на курсы.
И вопрос был задан по тому что во первых в гугле инфи много, но конкретно я не нашел по полям обратной связи, во вторых такую задачу не я придумал, а тимлил, может он и сам не разбирается в чем то. Именно с этой целью был задан вопрос на форуме.

Ну вообще да, иньекции js и sql это базовые вещи. Тех junior qa что я знал, знали об этом и тоже самоучки, это реальная банальщина. Никто не заставляет хакать базу и сайт, достаточно проверить на тот же алерт в коменты/дескрипшен или просто прокинуть доп селект в строку поиска и уже будет понятно что есть проблема или нету.

Ты хочешь сказать что sql иньекции это базовые знания junior manual tester?

Это базовые знания любого, кто вообще имеет дело с формированием SQL программными методами. А по-твоему, для работы достаточно знаний шимпанзе?

Или айти это только для избранных? И тех кто имеет бабло на курсы.

Книги, так понимаю, ты вообще ни одной не читал. Букварь ннада?

такую задачу не я придумал, а тимлил

Мне страшно за клиентов вашей конторы.

Мне страшно за клиентов вашей конторы.

Я думаю это часть тестового =)

Народ, откуда агресиия такая?
Может я и тупой вопрос задал. Но это обоснованно тем что у меня образование военного а опыт работы в тестировании 1 месяц. И мне повезло в том что я на фрилансе нашёл тимлида, который мне подкидует работу по тестированию веб-сайтов (которая у меня получается) и платит за нее 60грн час. Но это же стимул развивается. Многие после курсов работу найти не могут. А я после книги савина работаю уже, и довольно успешно получается.
И я прекрасно понимаю что против Вас худеньких, щупленьких, прыщавых с длинными волосами и в очках любителей поорать с джунов даже не всплываю.
Дайте же возможность нормальным ребятам ответы на вопросы на форуме найти. Нужно же иметь уважение ко всем людями, а не кидаться сразу с притензиями, мол чего ты тут пишешь, х-й, похеру и тд.
Ребята, давайте жить дружно.

Народ, откуда агресиия такая?

Это не агрессия, это сообщество наше, привыкай.

И мне повезло в том что я на фрилансе нашёл тимлида

Не факт)

худеньких, щупленьких, прыщавых с длинными волосами и в очках любителей поорать с джунов

0 попаданий из 6, боец :D

Ну я тут первый никого не оскорблял

худеньких, щупленьких, прыщавых с длинными волосами и в очках любителей поорать с джунов

Ой-вей, да это ж я, только вместо прыщей в брекетах :D

худеньких, щупленьких, прыщавых с длинными волосами и в очках

До этого момента твоя проблема вызывала сочувствие, но раз завел речь про внешность, то теперь не рассказывай, что тебя обижают «худенькие, щупленькие, прыщавые с длинными волосами в очках».

Ты от стаи гопарей отвалился?

Ребята, давайте жить дружно.

Не, в пешее эротическое иди.

Внешность, однако, тут ни при чем.

Если будешь в профессии и если в ней ты надолго, то ты теперь один из ботанов, задротов и т.д. Но это уже о другом. Внешность в любом случае ни при чем.

и как мне реагировать когда я задал первый вопрос на форуме и мне в ответ сразу prntscr.com/nn6qfd
и это я считаю не вопрос из рода «а как тестировать верстку?», «или нужно ли при тестировании чистить кеш?»
как на меня задан был реально нормальный вопрос, потому что еще раз говорю что в гугле про инъекции для форм обратной связи я не нашел.

Для SQL-инъекций не важно что это: форма обратной связи или вообще просто форма. Главное что тут есть поле для ввода данных.

Вот именно. Роботу-пауку совсем-совсем неважно в какие поля натыкать инъекций. Натыкает во все, ему не жалко.

и как мне реагировать когда я задал первый вопрос на форуме и мне в ответ сразу prntscr.com/nn6qfd

Молча. Что духом не был?

Как наехал — так и ответили.

Проблема не в том, что ты джун, и тем более не во внешности, и даже не в вопросе. Проблема в твоей непоколебимой уверенности, что тебе все должны. Притом должны ответить даже не на тот вопрос что ты задал, а чтобы соответствовало той религии что ты себе выдумал — наотрез отказавшись использовать уж десятки лет как накопленный опыт.

Именно поэтому мне жаль клиентов вашей конторы. Потому что как можно назвать тимлидом человека, который тебя нанял? Разве что он твой тесть.

И я прекрасно понимаю

Ходи на stackoverflow — там через поиск найдёшь ответ на любой вопрос. А если вдруг его не окажется, что бывает редко — задай, там все охотно отвечают и все объясняют. У сайта 2 версии — русская и английская. 2-я лучше

Вас худеньких, щупленьких, прыщавых с длинными волосами

Думаю большинство толстенькие и лысенькие, но нет разницы — внешность тут мало кого интересует :)

Читал, не переживай, и книги я себе найду. Тебе бы ножницы найти

це ж сироварня з гасподами, які вхопили бога за п!ятку

Кажется мы нашли первого человека, которого на самом деле забанили в Гугле

Прям весь гугл облазил.
Запросы не надо писать — надо писать в полях такие данные, которые могут стать частью запроса.
www.w3schools.com/sql/sql_injection.asp

Подписаться на комментарии