Fähigkeiten sql-injection-testing
🛡️

sql-injection-testing

Niedriges Risiko ⚙️ Externe Befehle🌐 Netzwerkzugriff

SQL-Injection-Sicherheitstests durchführen

Webanwendungen sind ständigen SQL-Injection-Bedrohungen ausgesetzt, die sensible Daten offenlegen können. Diese Skill vermittelt systematische Techniken zur Schwachstellenbewertung für autorisierte Sicherheitsexperten, um Datenbanksicherheitslücken zu identifizieren und zu beheben.

Unterstützt: Claude Codex Code(CC)
📊 69 Angemessen
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "sql-injection-testing". Test payload: ' OR '1'='1 injected into username field

Erwartetes Ergebnis:

Authentifizierungsumgehung erfolgreich. Die Abfrage verwandelt sich von einer Prüfung der Anmeldedaten in eine Tautologie, die immer wahr ist und den Zugriff ohne gültige Anmeldedaten gewährt.

Verwendung von "sql-injection-testing". UNION SELECT NULL, table_name, NULL FROM information_schema.tables--

Erwartetes Ergebnis:

Schwachstellenbericht: UNION-basierte SQL-Injection bestätigt. Angreifer können alle Datenbanktabellen aufzählen, einschließlich users, orders, payments. Schweregrad: KRITISCH. Behebung: Parametrisierte Abfragen implementieren.

Sicherheitsaudit

Niedriges Risiko
v1 • 2/25/2026

Static analysis flagged 61 external_commands and 1 network pattern, but all are FALSE POSITIVES. The backticks detected are SQL code examples in documentation markdown, not shell execution. Network references are SQL payload examples (UTL_HTTP.REQUEST), not actual network code. This is educational security documentation for authorized penetration testing with proper legal guardrails.

1
Gescannte Dateien
454
Analysierte Zeilen
3
befunde
1
Gesamtzahl Audits
Probleme mit niedrigem Risiko (1)
SKILL.md:1-454
SQL Injection Payload Documentation
File contains extensive SQL injection payloads and exploitation techniques. While educational, this content requires careful handling and should only be used for authorized security testing.

Risikofaktoren

⚙️ Externe Befehle (1)
SKILL.md:58-64
🌐 Netzwerkzugriff (1)
SKILL.md:185
Auditiert von: claude

Qualitätsbewertung

38
Architektur
100
Wartbarkeit
87
Inhalt
32
Community
88
Sicherheit
91
Spezifikationskonformität

Was du bauen kannst

Penetration-Testing-Einsatz

Sicherheitsberater, die autorisierte Bewertungen von Webanwendungen von Kunden durchführen, können diese Skill nutzen, um SQL-Injection-Schwachstellen systematisch zu identifizieren und deren Auswirkungen zu demonstrieren.

Security Code Review

Entwicklungsteams, die Anwendungscode auf Schwachstellen prüfen, können diese Techniken nutzen, um zu verstehen, wie Angreifer schwache Eingabevalidierung ausnutzen könnten, und geeignete Abwehrmaßnahmen umzusetzen.

Sicherheitsbildung und Training

Sicherheitsexperten, die sich mit SQL-Injection-Angriffsvektoren und Schutzmaßnahmen vertraut machen, können diese dokumentierten Techniken studieren, um ihre Expertise in der Webanwendungssicherheit auszubauen.

Probiere diese Prompts

Grundlegende Schwachstellenerkennung 
Help me identify potential SQL injection points in a web application. The target has a product page at /product.php?id= parameter. What are the initial test payloads I should try to detect vulnerabilities, and what responses should I look for?
Leitfaden zur UNION-basierten Extraktion 
I've confirmed a SQL injection vulnerability exists. Guide me through determining the column count using ORDER BY, then help me construct a UNION SELECT query to extract table names from information_schema.
Analyse von Blind-SQL-Injection 
The application shows no error messages and doesn't display database content. Help me design a boolean-based blind SQL injection approach to extract the database name character by character using conditional responses.
Bewertung der Authentifizierungsumgehung 
I'm testing a login form that queries: SELECT * FROM users WHERE username='[input]' AND password='[input]'. Show me payloads that could bypass authentication and explain how each one transforms the resulting query.

Bewährte Verfahren

  • Immer eine schriftliche Autorisierung einholen, die Umfang und Regeln des Engagements definiert, bevor Tests durchgeführt werden
  • Nicht-destruktive Payloads verwenden, die die Schwachstelle nachweisen, ohne echte Nutzerdaten zu extrahieren
  • Alle Testfälle, verwendeten Payloads und Antworten für eine umfassende Berichterstattung dokumentieren
  • Kritische Befunde umgehend über etablierte Notfallkanäle melden
  • Alle extrahierten Daten gemäß den Datenschutzvereinbarungen behandeln

Vermeiden

  • Niemals DROP-, DELETE- oder TRUNCATE-Abfragen ohne ausdrückliche schriftliche Autorisierung ausführen
  • Ressourcenintensive Abfragen vermeiden, die einen Denial-of-Service verursachen könnten
  • Nicht mehr Daten extrahieren, als zur Beweisführung der Schwachstelle erforderlich sind
  • Niemals Systeme außerhalb des definierten Umfangs des Engagements testen

Häufig gestellte Fragen

Ist diese Skill legal zu verwenden?
Diese Skill ist ausschließlich für Schulungszwecke und autorisierte Sicherheitstests bestimmt. Sie müssen eine schriftliche Genehmigung des Systeminhabers haben, bevor Sie eine Anwendung testen, die Ihnen nicht gehört. Unautorisierte Tests sind in den meisten Rechtsordnungen illegal.
Führt diese Skill tatsächlich SQL-Injection-Angriffe aus?
Nein. Diese Skill bietet dokumentierte Anleitungen und Hinweise zu SQL-Injection-Techniken. Sie führt keine tatsächlichen Angriffe aus und verbindet sich nicht mit Systemen. Nutzer müssen diese Techniken manuell mit ihren eigenen Tools anwenden.
Welche Tools benötige ich, um SQL-Injection-Tests durchzuführen?
Gängige Tools sind Burp Suite für die Manipulation von Requests, SQLMap für automatisierte Tests, Browser-Entwicklertools und ein Texteditor für die Dokumentation von Payloads. Diese Skill zeigt, wie man diese Tools effektiv einsetzt.
Wie erkenne ich, ob eine Anwendung für SQL-Injection anfällig ist?
Achten Sie auf Datenbankfehlermeldungen, ungewöhnliches Anwendungsverhalten oder Antwortunterschiede beim Einfügen von Sonderzeichen wie Anführungszeichen. Boolean-basierte und zeitbasierte Techniken können Schwachstellen bestätigen, wenn keine Fehler angezeigt werden.
Was ist die beste Abwehr gegen SQL-Injection?
Parametrisierte Abfragen (Prepared Statements) sind die wichtigste Abwehr. Zusätzliche Schutzmaßnahmen umfassen Eingabevalidierung, Stored Procedures, Datenbankkonten mit minimalen Rechten und Web Application Firewalls als Defense in Depth.
Kann SQL-Injection über HTTP-Header durchgeführt werden?
Ja. Header wie User-Agent, Referer und X-Forwarded-For werden oft in Datenbanken protokolliert und können Injektionspunkte sein, wenn sie nicht korrekt bereinigt werden. Cookie-Werte sind ebenfalls häufige Injektionsvektoren.

Entwicklerdetails

Autor

sickn33

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/sql-injection-testing

Ref

main

Dateistruktur

📄 SKILL.md