sql-injection-testing
Realizar Testes de Segurança de Injeção SQL
Aplicações web enfrentam ameaças constantes de injeção SQL que podem expor dados sensíveis. Esta skill fornece técnicas sistemáticas de avaliação de vulnerabilidades para profissionais de segurança autorizados identificarem e corrigirem falhas de segurança de banco de dados.
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“sql-injection-testing”。 Test payload: ' OR '1'='1 injetado no campo username
预期结果:
Bypass de autenticação bem-sucedido. A consulta se transforma de verificar credenciais para uma tautologia que sempre retorna verdadeiro, concedendo acesso sem credenciais válidas.
正在使用“sql-injection-testing”。 UNION SELECT NULL, table_name, NULL FROM information_schema.tables--
预期结果:
Relatório de vulnerabilidade: Injeção SQL baseada em UNION confirmada. Atacante pode enumerar todas as tabelas do banco de dados incluindo usuários, pedidos, pagamentos. Severidade: CRÍTICA. Correção: Implementar consultas parametrizadas.
安全审计
低风险Static analysis flagged 61 external_commands and 1 network pattern, but all are FALSE POSITIVES. The backticks detected are SQL code examples in documentation markdown, not shell execution. Network references are SQL payload examples (UTL_HTTP.REQUEST), not actual network code. This is educational security documentation for authorized penetration testing with proper legal guardrails.
低风险问题 (1)
风险因素
⚙️ 外部命令 (1)
🌐 网络访问 (1)
质量评分
你能构建什么
Engajamento de Testes de Invasão
Consultores de segurança realizando avaliações autorizadas de aplicações web de clientes podem usar esta skill para identificar sistematicamente vulnerabilidades de injeção SQL e demonstrar seu impacto.
Revisão de Código de Segurança
Equipes de desenvolvimento revisando código de aplicação quanto a vulnerabilidades podem usar estas técnicas para entender como atacantes podem explorar validação de entrada fraca e implementar defesas apropriadas.
Educação e Treinamento em Segurança
Profissionais de segurança aprendendo sobre vetores de ataque de injeção SQL e medidas defensivas podem estudar estas técnicas documentadas para construir sua expertise em segurança de aplicações web.
试试这些提示
Ajude-me a identificar pontos potenciais de injeção SQL em uma aplicação web. O alvo tem uma página de produto em /product.php?id= parâmetro. Quais são os payloads de teste iniciais que devo tentar para detectar vulnerabilidades, e quais respostas devo procurar?
Confirmei que existe uma vulnerabilidade de injeção SQL. Guie-me através da determinação da contagem de colunas usando ORDER BY, depois ajude-me a construir uma consulta UNION SELECT para extrair nomes de tabelas do information_schema.
A aplicação não mostra mensagens de erro e não exibe o conteúdo do banco de dados. Ajude-me a projetar uma abordagem de injeção SQL cega baseada em boolean para extrair o nome do banco de dados caractere por caractere usando respostas condicionais.
Estou testando um formulário de login que consulta: SELECT * FROM users WHERE username='[input]' AND password='[input]'. Mostre-me payloads que poderiam fazer bypass da autenticação e explique como cada um transforma a consulta resultante.
最佳实践
- Sempre obtenha autorização escrita definindo escopo e regras de engajamento antes de testar
- Use payloads não destrutivos que demonstrem a vulnerabilidade sem extrair dados reais de usuários
- Documente todos os casos de teste, payloads usados e respostas para relatórios abrangentes
- Relate imediatamente descobertas críticas através de canais de emergência estabelecidos
- Manuseie quaisquer dados extraídos de acordo com acordos de proteção de dados
避免
- Nunca execute consultas DROP, DELETE ou TRUNCATE sem autorização escrita explícita
- Evite consultas intensivas em recursos que possam causar negação de serviço
- Não extraia mais dados do que o necessário para provar que a vulnerabilidade existe
- Nunca teste sistemas fora do escopo definido do engajamento