Sono presenti stringhe come AND '1' = '2
e <script>alert('xss')</script>
utilizzate per identificare gli exploit di vulnerabilità XSL e XSS di SQL injection?
In caso affermativo, quando la black-box testare un'applicazione web fatta in casa, è la differenza tra identificazione della vulnerabilità e sfruttamento delle intenzioni del pentestore? Ad esempio per le iniezioni SQL, nel primo caso il pentestore vuole identificare la vulnerabilità e nel secondo caso desidera recuperare i record nel database?