2018 bis heute | 2017 2016 2015 2014 | 2013 | 2012

Mailingliste - Einträge 2018 bis heute

Hi Everyone,<br> I am trying to use QFTest to perform SQL injection attacks against a login page but QFTest throws an error with some of my complex testing usernames, ones that include double quotes. I have a table of usernames and passwords but errors are thrown if the username contains double quotes. Is it possible to pull these complex statements from a data table and have the quotes used as inputs into the username field without confusing QFtest during variable evaluations?<br>
<br>The table has usernames and identical password to be used for an SQL injection attacks against a login page.<br>
Username Password<br>
admin--  admin--<br>
"user") or ("a"="a"!="user" "user") or ("a"="a"!="user"<br>
<br>The code has an if check to skip tests if the username is just user. I think this is where QFTest is getting confused by the double quotes in the variable.<br>if $(username) != "user"<br> then inject the strings into the username and password fields.<br>
 verify that authentication fails<br>else<br> do normal login to prevent QFTest from being locked out of the application for a long period of time.<br>go back to the top for the next set of values.<br><br>
Class<br>
de.qfs.apps.qftest.shared.<div id=":83">exceptions.BadTestException<br>
<br>
Message<br>
The expression<br>
'"user") or ("a"="a"!="user"'<br>
is not a valid test.<br>
<br>
The Jython engine failed with the following message:<br>
Traceback (innermost last):<br>
 File "<string>", line 1, in ?<br>
 File "C:\Program Files\qfs\qftest\qftest-3.2.2\jython\Lib\qftest.py", line 147, in evaltest<br>
 File "<string>", line 1<br>
    if "user") or ("a"="a"!="user": ret[0]='true'<br>
         ^<br>
SyntaxError: invalid syntax<br>
<br>
Stack Trace<br>
de.qfs.apps.qftest.shared.exceptions.BadTestException: The expression<br>
'"user") or ("a"="a"!="user"'<br>
is not a valid test.<br>
<br>
The Jython engine failed with the following message:<br>
Traceback (innermost last):<br>
 File "<string>", line 1, in ?<br>
 File "C:\Program Files\qfs\qftest\qftest-3.2.2\jython\Lib\qftest.py", line 147, in evaltest<br>
 File "<string>", line 1<br>
    if "user") or ("a"="a"!="user": ret[0]='true'<br>
         ^<br>
SyntaxError: invalid syntax<br>
<br>
    at de.qfs.apps.qftest.run.AbstractRunContext.evalTest(SourceFile:3807)<br>
    at de.qfs.apps.qftest.step.IfSequence.exec(SourceFile:439)<br>
    at de.qfs.apps.qftest.step.IfSequence.exec(SourceFile:405)<br>
    at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
    at de.qfs.apps.qftest.step.BasicSequence.a(SourceFile:819)<br>
    at de.qfs.apps.qftest.step.BasicSequence.exec(SourceFile:730)<br>
    at de.qfs.apps.qftest.step.BasicSequence.exec(SourceFile:703)<br>
    at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
    at de.qfs.apps.qftest.step.BasicSequence.a(SourceFile:819)<br>
    at de.qfs.apps.qftest.step.TestCase.exec(SourceFile:613)<br>
    at de.qfs.apps.qftest.step.TestCase.exec(SourceFile:353)<br>
    at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
    at de.qfs.apps.qftest.step.TestSet.exec(SourceFile:1004)<br>
    at de.qfs.apps.qftest.step.TestSet.exec(SourceFile:527)<br>
    at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
    at de.qfs.apps.qftest.step.BasicSequence.a(SourceFile:819)<br>
    at de.qfs.apps.qftest.step.RootStep.exec(SourceFile:1027)<br>
    at de.qfs.apps.qftest.step.BasicSequence.exec(SourceFile:703)<br>
    at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
    at de.qfs.apps.qftest.run.AbstractRunContext.run(SourceFile:1239)<br>
    at de.qfs.apps.qftest.run.AbstractRunContext.run(SourceFile:1098)<br>
    at de.qfs.apps.qftest.run.aN.run(SourceFile:9369)<br><br>Please let me know if this is possible or how others are doing SQL injections with QFTest.<br>Thanks,<br>--Todd<br></div>