是否可以通过 XSS 漏洞执行 SQL 注入?

is it possible to perform a SQL Injection through a XSS vulnerability?

提问人:Júlio César 提问时间:5/7/2019 更新时间:5/7/2019 访问量:65

问:

我曾尝试在网站上执行SQL注入渗透测试,但无法执行,因为该网站不容易受到攻击。我想尝试通过 XSS 漏洞执行 SQL 注入渗透测试。可能吗?

安全性 XSS SQL 注入

评论

答:

2赞 Bill Karwin 5/7/2019 #1

XSS 允许攻击者欺骗您的网站显示,以在您期望输出纯文本的位置插入 Javascript 代码。

从理论上讲,Javascript 可以创建返回网站的 AJAX 请求,并尝试向 AJAX 端点发出包含 SQL 语法的恶意内容的 POST 请求,并且该端点的代码使用 SQL 查询中的内容。

但是,如果网站上的 SQL 查询已经不容易受到 SQL 注入的影响,那么 Javascript 就不能使它们容易受到攻击。

上一个:如何转义 f 字符串中的字段?

下一个:这对 node-postgres 安全吗?