如何进行EB全性测试.docVIP

WEB的安全性测试主要从以下方面考虑： ? 1.SQL Injection(SQL注入) ? (1)如何进行SQL注入测试? 首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等. 注1:对 于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的FORM标签来辨别是否还有参数传递.在FORM 和/FORM的标签中间的每一个参数传递都有可能被利用. div input type=text name=q id=search_q value= / input name=search type=image src=/media/images/site/search_btn.gif / a href=/search/ class=flGamefinder/a /div /form 注 2:当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的URL,如HTTP://DOMAIN/INDEX.ASP?ID=10 其 次,在URL参数或表单中加入某些特殊的SQL语句或SQL片断,如在登录页面的URL中输入HTTP://DOMAIN /INDEX.ASP?USERNAME=HI OR 1=1-- or 1=1- - or 1=1- - or 1=1- - or a=a or a=a ) or (a=a??? 注2：为什么是OR， 以及,――是