2018 bis heute | 2017 2016 2015 2014 | 2013 | 2012

Mailingliste - EintrÀge 2018 bis heute

Hi Everyone,<br>  I am trying to use QFTest to perform SQL injection attacks against a login page but QFTest throws an error with some of my complex testing usernames, ones that include double quotes. I have a table of usernames and passwords but errors are thrown if the username contains double quotes. Is it possible to pull these complex statements from a data table and have the quotes used as inputs into the username field without confusing QFtest during variable evaluations?<br>
<br>The table has usernames and identical password to be used for an SQL injection attacks against a login page.<br>
Username                                   Password<br>
admin--                                      admin--<br>
"user") or ("a"="a"!="user"            "user") or ("a"="a"!="user"<br>
<br>The code has an if check to skip tests if the username is just user. I think this is where QFTest is getting confused by the double quotes in the variable.<br>if $(username) != "user"<br>  then inject the strings into the username and password fields.<br>
  verify that authentication fails<br>else<br>  do normal login to prevent QFTest from being locked out of the application for a long period of time.<br>go back to the top for the next set of values.<br><br>
Class<br>
de.qfs.apps.qftest.shared.<div id=":83">exceptions.BadTestException<br>
<br>
Message<br>
The expression<br>
'"user") or ("a"="a"!="user"'<br>
is not a valid test.<br>
<br>
The Jython engine failed with the following message:<br>
Traceback (innermost last):<br>
  File "<string>", line 1, in ?<br>
  File "C:\Program Files\qfs\qftest\qftest-3.2.2\jython\Lib\qftest.py", line 147, in evaltest<br>
  File "<string>", line 1<br>
        if "user") or ("a"="a"!="user": ret[0]='true'<br>
                  ^<br>
SyntaxError: invalid syntax<br>
<br>
Stack Trace<br>
de.qfs.apps.qftest.shared.exceptions.BadTestException: The expression<br>
'"user") or ("a"="a"!="user"'<br>
is not a valid test.<br>
<br>
The Jython engine failed with the following message:<br>
Traceback (innermost last):<br>
  File "<string>", line 1, in ?<br>
  File "C:\Program Files\qfs\qftest\qftest-3.2.2\jython\Lib\qftest.py", line 147, in evaltest<br>
  File "<string>", line 1<br>
        if "user") or ("a"="a"!="user": ret[0]='true'<br>
                  ^<br>
SyntaxError: invalid syntax<br>
<br>
        at de.qfs.apps.qftest.run.AbstractRunContext.evalTest(SourceFile:3807)<br>
        at de.qfs.apps.qftest.step.IfSequence.exec(SourceFile:439)<br>
        at de.qfs.apps.qftest.step.IfSequence.exec(SourceFile:405)<br>
        at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
        at de.qfs.apps.qftest.step.BasicSequence.a(SourceFile:819)<br>
        at de.qfs.apps.qftest.step.BasicSequence.exec(SourceFile:730)<br>
        at de.qfs.apps.qftest.step.BasicSequence.exec(SourceFile:703)<br>
        at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
        at de.qfs.apps.qftest.step.BasicSequence.a(SourceFile:819)<br>
        at de.qfs.apps.qftest.step.TestCase.exec(SourceFile:613)<br>
        at de.qfs.apps.qftest.step.TestCase.exec(SourceFile:353)<br>
        at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
        at de.qfs.apps.qftest.step.TestSet.exec(SourceFile:1004)<br>
        at de.qfs.apps.qftest.step.TestSet.exec(SourceFile:527)<br>
        at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
        at de.qfs.apps.qftest.step.BasicSequence.a(SourceFile:819)<br>
        at de.qfs.apps.qftest.step.RootStep.exec(SourceFile:1027)<br>
        at de.qfs.apps.qftest.step.BasicSequence.exec(SourceFile:703)<br>
        at de.qfs.apps.qftest.run.AbstractRunContext.call(SourceFile:1798)<br>
        at de.qfs.apps.qftest.run.AbstractRunContext.run(SourceFile:1239)<br>
        at de.qfs.apps.qftest.run.AbstractRunContext.run(SourceFile:1098)<br>
        at de.qfs.apps.qftest.run.aN.run(SourceFile:9369)<br><br>Please let me know if this is possible or how others are doing SQL injections with QFTest.<br>Thanks,<br>--Todd<br></div>