Web安全:SQL注入实战测试.(扫描 + 测试)

Web安全:SQL注入实战测试.

SQL注入就是 有些恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信,没有对用户插入的SQL语句进行任何的过滤 ,从而直接被SQL语句直接被服务端执行,导致数据库的原有信息泄露,篡改,甚至被删除等风险。


目录:

[SQLmap 工具测试:](#SQLmap 工具测试:)

使用文档的形式【-r】.(因为这个方法使用的多)

[(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试](#(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试)

[(2)在请求数据文档中,把 变量=号 后面的数据删除](#(2)在请求数据文档中,把 变量=号 后面的数据删除)

[(3)使用 SQLmap 进行测试.【使用 -r 参数】](#(3)使用 SQLmap 进行测试.【使用 -r 参数】)

使用常规形式的测试.【-u】

[(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试](#(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试)

[(2)把变量后面的数据删除,或者添加 1 都行.](#(2)把变量后面的数据删除,或者添加 1 都行.)

[(3)使用 SQLmap 进行测试.【使用 -u 参数】](#(3)使用 SQLmap 进行测试.【使用 -u 参数】)

手工测试:

[(1)了解 工具测试 的过程和显示的数据是什么.](#(1)了解 工具测试 的过程和显示的数据是什么.)

[(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.](#(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.)


SQLmap 工具测试:

使用文档的形式【-r】.(因为这个方法使用的多)

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试,验证漏洞是否存在.

(2)在请求数据文档中,把 变量=号 后面的数据删除,如果有二个变量一般是要&号隔开.

【设置 * 号,工具就是在这个位置上进行测试是否存在注入点.】

【如果没有 * 号,文档测试就无法测试.】


(3)使用 SQLmap 进行测试.【使用 -r 参数】
复制代码
sqlmap -r 11.txt --batch --dbs

-r        文件的路径 

--batch   默认sqlmap工具提出的(是否)为:y 

--dbs     显示站点所有数据库

使用常规形式的测试.【-u】

(1)当我们扫描出 SQL注入漏洞 时,我们可以使用 SQLmap 工具进行测试,验证漏洞是否存在.

(2)把变量后面的数据删除,或者添加 1 都行.

(3)使用 SQLmap 进行测试.【使用 -u 参数】
复制代码
sqlmap -u "http://192.168.1.103:801 /pikachu/vul/sqli/sqli_x.php?name=1&submit=1" --batch --dbs

-u        要测试的URL注入点的路径 

--batch   默认sqlmap工具提出的(是否)为:y 

--dbs     显示站点所有数据库

手工 测试:

(1)了解 工具测试 的过程和显示的数据是什么.

(2)打开 Burp 进行抓包,我们可以去访问 注入点的页面.【然后把数据发送到重发器中】
相关推荐
深盾科技15 分钟前
鸿蒙ABC开发中的名称混淆与反射处理策略:安全与效率的平衡
安全·华为·harmonyos
罗光记16 分钟前
腾讯混元游戏视觉生成平台正式发布2.0版本
数据库·经验分享·百度·facebook·开闭原则
我科绝伦(Huanhuan Zhou)25 分钟前
达梦数据守护集群监视器详解与应用指南
数据库
vortex51 小时前
AD渗透中服务账号相关攻击手法总结(Kerberoasting、委派)
windows·网络安全·渗透测试·ad
CoderYanger1 小时前
MySQL数据库——3.2.1 表的增删查改-查询部分(全列+指定列+去重)
java·开发语言·数据库·mysql·面试·职场和发展
PEI042 小时前
MVCC(多版本并发控制)
java·开发语言·数据库
Zero_Era2 小时前
LKT4202UGM重新定义物联网设备安全标准
物联网·安全·嵌入式
中科固源2 小时前
低空飞行安全“把关人”,MH/T 4055.3-2022 测试标准深度解读
安全·低空安全
码出财富2 小时前
事务管理的选择:为何 @Transactional 并非万能,TransactionTemplate 更值得信赖
数据库
ST.J2 小时前
SQL与数据库笔记
数据库·笔记·sql