Web安全:SQL注入实战测试.(扫描 + 测试)

Web安全:SQL注入实战测试.

SQL注入就是 有些恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信,没有对用户插入的SQL语句进行任何的过滤 ,从而直接被SQL语句直接被服务端执行,导致数据库的原有信息泄露,篡改,甚至被删除等风险。


目录:

[SQLmap 工具测试:](#SQLmap 工具测试:)

使用文档的形式【-r】.(因为这个方法使用的多)

[(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试](#(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试)

[(2)在请求数据文档中,把 变量=号 后面的数据删除](#(2)在请求数据文档中,把 变量=号 后面的数据删除)

[(3)使用 SQLmap 进行测试.【使用 -r 参数】](#(3)使用 SQLmap 进行测试.【使用 -r 参数】)

使用常规形式的测试.【-u】

[(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试](#(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试)

[(2)把变量后面的数据删除,或者添加 1 都行.](#(2)把变量后面的数据删除,或者添加 1 都行.)

[(3)使用 SQLmap 进行测试.【使用 -u 参数】](#(3)使用 SQLmap 进行测试.【使用 -u 参数】)

手工测试:

[(1)了解 工具测试 的过程和显示的数据是什么.](#(1)了解 工具测试 的过程和显示的数据是什么.)

[(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.](#(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.)


SQLmap 工具测试:

使用文档的形式【-r】.(因为这个方法使用的多)

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试,验证漏洞是否存在.

(2)在请求数据文档中,把 变量=号 后面的数据删除,如果有二个变量一般是要&号隔开.

【设置 * 号,工具就是在这个位置上进行测试是否存在注入点.】

【如果没有 * 号,文档测试就无法测试.】


(3)使用 SQLmap 进行测试.【使用 -r 参数】
复制代码
sqlmap -r 11.txt --batch --dbs

-r        文件的路径 

--batch   默认sqlmap工具提出的(是否)为:y 

--dbs     显示站点所有数据库

使用常规形式的测试.【-u】

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试,验证漏洞是否存在.

(2)把变量后面的数据删除,或者添加 1 都行.

(3)使用 SQLmap 进行测试.【使用 -u 参数】
复制代码
sqlmap -u "http://192.168.1.103:801 /pikachu/vul/sqli/sqli_x.php?name=1&submit=1" --batch --dbs

-u        要测试的URL注入点的路径 

--batch   默认sqlmap工具提出的(是否)为:y 

--dbs     显示站点所有数据库

手工 测试:

(1)了解 工具测试 的过程和显示的数据是什么.

(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.【然后把数据发送到重发器中】
相关推荐
玥轩_5213 分钟前
BUUCTF [WUSTCTF2020]spaceclub 1
安全·网络安全·ctf·buuctf·ascii·spaceclub·wustctf2020
weixin_4786897610 分钟前
操作系统【2】【内存管理】【虚拟内存】【参考小林code】
数据库·nosql
ManageEngine卓豪22 分钟前
网络工具如何帮助消除网络安全风险
网络安全·网络管理·网络工具
weixin_472339461 小时前
网络安全之重放攻击:原理、危害与防御之道
安全·web安全
sam.li1 小时前
WebView安全实现(一)
android·安全·webview
咖啡啡不加糖1 小时前
暴力破解漏洞与命令执行漏洞
java·后端·web安全
weixin_472339461 小时前
网络安全之注入攻击:原理、危害与防御之道
安全·web安全
九皇叔叔1 小时前
【7】PostgreSQL 事务
数据库·postgresql
kk在加油1 小时前
Mysql锁机制与优化实践以及MVCC底层原理剖析
数据库·sql·mysql
Kookoos1 小时前
ABP VNext + Cosmos DB Change Feed:搭建实时数据变更流服务
数据库·分布式·后端·abp vnext·azure cosmos