残りのAPIのペイロードで適切にテストするために、どのSQLインジェクション構文を送信する必要がありますか

Question

APIオートメーションスイートを作成しています.SQLインジェクションテストケースを作成/テストする必要があります。

私はSQLインジェクションのために私のAPIをテストするためにSQLMAPを使用しています。 これらのテストケースをテストするために、テストスクリプトでいくつかのパラメータを送信する必要があります。

私のような構文を試してみました： -

• または1 = 1

• を '1' = '1'

• 'OR ''='

他に何か試してみることができます。 JSON Payload POSTリクエストでも動作しますか、GETリクエストのみで試してみるべきですか？

私が正しく

Answer 1

を自分のタスクを達成できるように、あなたはGitHubの上でホストされているSQLインジェクションやXSSのペイロード文字列のいくつかのコレクションのいずれかを使用して始めることができる良い方法を提案してください。例：SQL/XSS Injection Strings。 脆弱性を深刻にテストしたい場合は、Kali LinuxやSQL Injection toolなどの侵入テストフレームワークを使用する必要があります。

Answer 2

OWASPはこのテーマに関するページがあります：迅速な返信用втуманеЁжик

https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)