是否可以通过 XSS 漏洞执行 SQL 注入?
is it possible to perform a SQL Injection through a XSS vulnerability?
我曾尝试在网站上执行 SQL 注入渗透测试,但未能成功,因为该网站不易受攻击。我想尝试通过 XSS 漏洞执行 SQL 注入渗透测试。可能吗?
XSS 允许攻击者欺骗您的网站显示以在您预期输出纯文本的位置插入 Javascript 代码。
理论上,Javascript 可以创建一个 AJAX 请求返回网站,并尝试使用包含 SQL 语法的恶意内容发出 POST 请求AJAX 端点,该端点的代码使用 SQL 查询中的内容。
但是如果网站上的 SQL 查询已经不易受到 SQL 注入的攻击,那么 Javascript 就不能使它们容易受到攻击。
我曾尝试在网站上执行 SQL 注入渗透测试,但未能成功,因为该网站不易受攻击。我想尝试通过 XSS 漏洞执行 SQL 注入渗透测试。可能吗?
XSS 允许攻击者欺骗您的网站显示以在您预期输出纯文本的位置插入 Javascript 代码。
理论上,Javascript 可以创建一个 AJAX 请求返回网站,并尝试使用包含 SQL 语法的恶意内容发出 POST 请求AJAX 端点,该端点的代码使用 SQL 查询中的内容。
但是如果网站上的 SQL 查询已经不易受到 SQL 注入的攻击,那么 Javascript 就不能使它们容易受到攻击。