Questo strumento può essere utilizzato per individuare delle vulnerabilità SQL Injection, l’utilizzo è molto semplice, ci basta aprire il programma, cliccare su Automated Scan, inserire l’indirizzo URL che vogliamo testare e lanciare l’attacco con il comando Attack:
sudo apt install zaproxy
zaproxy
Dopo aver aspettato che finisca lo scan possiamo dirigerci alla sezione Alerts e vedere i risultati cliccando nella sezione SQL:
Manuale
Per vedere manualmente se è presente una vulnerabilità SQLi possiamo utilizzare uno dei seguenti payload:
'
#
-
/
Diciamo per semplicità tutti i caratteri speciali, se uno di questi caratteri crea un errore da parte del server allora è presente una SQLi