Web安全:SQL注入实战测试.(扫描 + 测试)

Web安全:SQL注入实战测试.

SQL注入就是 有些恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信,没有对用户插入的SQL语句进行任何的过滤 ,从而直接被SQL语句直接被服务端执行,导致数据库的原有信息泄露,篡改,甚至被删除等风险。


目录:

[SQLmap 工具测试:](#SQLmap 工具测试:)

使用文档的形式【-r】.(因为这个方法使用的多)

[(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试](#(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试)

[(2)在请求数据文档中,把 变量=号 后面的数据删除](#(2)在请求数据文档中,把 变量=号 后面的数据删除)

[(3)使用 SQLmap 进行测试.【使用 -r 参数】](#(3)使用 SQLmap 进行测试.【使用 -r 参数】)

使用常规形式的测试.【-u】

[(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试](#(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试)

[(2)把变量后面的数据删除,或者添加 1 都行.](#(2)把变量后面的数据删除,或者添加 1 都行.)

[(3)使用 SQLmap 进行测试.【使用 -u 参数】](#(3)使用 SQLmap 进行测试.【使用 -u 参数】)

手工测试:

[(1)了解 工具测试 的过程和显示的数据是什么.](#(1)了解 工具测试 的过程和显示的数据是什么.)

[(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.](#(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.)


SQLmap 工具测试:

使用文档的形式【-r】.(因为这个方法使用的多)

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试,验证漏洞是否存在.

(2)在请求数据文档中,把 变量=号 后面的数据删除,如果有二个变量一般是要&号隔开.

【设置 * 号,工具就是在这个位置上进行测试是否存在注入点.】

【如果没有 * 号,文档测试就无法测试.】


(3)使用 SQLmap 进行测试.【使用 -r 参数】
sqlmap -r 11.txt --batch --dbs

-r        文件的路径 

--batch   默认sqlmap工具提出的(是否)为:y 

--dbs     显示站点所有数据库

使用常规形式的测试.【-u】

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试,验证漏洞是否存在.

(2)把变量后面的数据删除,或者添加 1 都行.

(3)使用 SQLmap 进行测试.【使用 -u 参数】
sqlmap -u "http://192.168.1.103:801 /pikachu/vul/sqli/sqli_x.php?name=1&submit=1" --batch --dbs

-u        要测试的URL注入点的路径 

--batch   默认sqlmap工具提出的(是否)为:y 

--dbs     显示站点所有数据库

手工 测试:

(1)了解 工具测试 的过程和显示的数据是什么.

(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.【然后把数据发送到重发器中】
相关推荐
星竹20 分钟前
upload-labs-master第21关超详细教程
网络安全
蜜獾云22 分钟前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
Mr.131 小时前
数据库的三范式是什么?
数据库
Cachel wood1 小时前
python round四舍五入和decimal库精确四舍五入
java·linux·前端·数据库·vue.js·python·前端框架
Python之栈1 小时前
【无标题】
数据库·python·mysql
虹科数字化与AR1 小时前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
风_流沙1 小时前
java 对ElasticSearch数据库操作封装工具类(对你是否适用嘞)
java·数据库·elasticsearch
亽仒凣凣1 小时前
Windows安装Redis图文教程
数据库·windows·redis
亦世凡华、2 小时前
MySQL--》如何在MySQL中打造高效优化索引
数据库·经验分享·mysql·索引·性能分析
Hacker_Fuchen2 小时前
天融信网络架构安全实践
网络·安全·架构